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出 版 说明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 ,企业 经 营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 ,全 球 对 信息 安全 人 才 的 需求 量 不 断 增加 ,但 我 国 
目前 信息 安全 人 才 极 度 殴 乏 , 远 远 不 能 满足 金融 、 商 业 、 公 安 、 军 事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设立 信息 安全 本 科 专 业 , 而 且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 

信息 安全 是 计算 机 、 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 教 
育 专 业 委 员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 "编审 委员 
会 ,由 我 国信 息 安全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量 前 脆性 
的 研究 工作 ,而 且 这 种 研究 工作 将 随 着 我 国信 息 安 全 专业 的 发 展 不 断 深入 。 系 
列 教材 的 作者 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 话 、 又 在 教学 第 一 线 有 丰富 
的 教学 经 验 的 学 者 专家。 

该 系列 教材 是 我 国 第 一 套 专 门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

@ 体系 完整 结构 合理 ,内 容 先 进 。 

@ 适应 面 广 :能 够 满足 信息 安全 .计算 机 、 通 信 工 程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

@ 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 、 习 题 与 实验 指导 等 。 

@ 版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 , 效 选 了 一 批 国外 信息 安全 领域 的 优秀 教材 加 入 到 系列 教材 中 ,以 进一步 
满足 大 家 对 外 版 书 的 需求 。“ 高 等 院 校 信息 安全 专业 系列 教材 "已 于 2006 年 
年 初 正式 列 和 普通 高 等 教育 “十 一 五 ”国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 
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又 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主办 ,清华 大 学 出 版 社 协办 。 教 育 部 高 
等 学 校 信息 安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 起 到 重要 的 指 
导 和 推动 作用 。2006 年 教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ” 
的 教学 科研 项 目 。2007 年 起 该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
组 织 实施 。 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 “ 教 育 部 高 等 学 校 信 息 安全 专业 教学 指导 委员 会 "成立 。 经 组 织 审 
查 和 研究 决定 ,2014 年 以 “教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 ”的 名 义 正式 发 
布 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 由 清华 大 学 出 版 社 正式 出 版 )。 

2015 年 6 月 ,国务 院 学 位 委员 会 .教育 部 出 台 增 设 “ 网 络 空 间 安全 ”为 一 级 学 科 的 决 
定 , 将 高 校 培养 网 络 空间 安全 人 才 提 到 新 的 高 度 。2016 年 6 月, 中央 网 络 安全 和 信息 化 
领导 小 组 办 公 室 (下 文 简称 中 央 网 信 办 ) 、 国 家 发 展 和 改革 委员 会 .教育 部 、 科 学 技术 部 . 工 
业 和 信息 化 部 及 人 力 资 源 和 社会 保障 部 六 大 部 门 联合 发 布 (关于 加 强 网 络 安全 学 科 建 设 
和 人 才 培 养 的 意见 》( 中 网 办 发 文 [2016]4 号 )。 为 贯彻 落实 (关于 加 强 网 络 安 全 学 科 建 设 
和 人 才 培 养 的 意见 》, 进 一 步 深 化 高 等 教育 教学 改革 ,促进 网 络 安全 学 科 专 业 建 设 和 人 才 
培养 ,促进 网 络 空 间 安全 相关 核心 课程 和 教材 建设 ,在 教育 部 高 等 学 校 信息 安全 专业 教学 
指导 委员 会 和 中 央 网 信 办 资助 的 网 络 空间 安全 教材 建设 课题 组 的 指导 下 ,启动 了 “网 络 空 
间 安 全 重点 规划 丛书 ”的 工作 ,由 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 秘书 长 封 
化 民 校 长 担任 编 委 会 主任 。 本 规划 从 书 基 于 “高 等 院 校 信息 安全 专业 系列 教材 ”坚实 的 工 
作 基 础 和 成 果 阵容 强大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 经 有 多 本 图 书 获得 教育 
部 和 中 央 网 信 办 等 机 构 评 选 的 “普通 高 等 教育 本 科 国 家 级 规划 教材 “普通 高 等 教育 精品 
教材 “中 国 大 学 出 版 社 图 书 奖 ”" 和 “国家 网 络 安全 优秀 教材 奖 ” 等 多 个 奖项 。 

“网 络 空间 安全 重点 规划 丛书 ?将 根据 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 及 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 .系统 
性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 建设 的 新 成 果 , 并 随 着 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完 善 ,力争 为 我 国 网 络 空间 安全 相关 学 科 专 业 的 本 科 和 研究 生 教 材 建设 .学术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 。 

我 们 的 E-mail 地 址 是 : zhangm@tup. tsinghua. edu. cn ,联系 人 : 张 民 。 


“网 络 空间 安全 重点 规划 丛书 ”编审 委员 会 


Dp 
月 二 


没有 网 络 安全 ,就 没有 国家 安全 ;没有 网 络 安全 人 才 ,就 没有 网 络 安全 。 

为 了 适应 对 网 络 安全 人 才 的 需要 ,如 今 , 许 多 学 校 都 在 下 大 功夫 、 花 大 本 
钱 ,聘请 优秀 教师 ,招收 优秀 学 生 ,建设 一 流 的 网 络 空间 安全 专业 ,努力 培养 
网 络 安全 人 才 。 

网 络 空间 安全 专业 建设 需要 体系 化 的 培养 方案 .系统 化 的 专业 教材 和 专 
业 化 的 师资 队伍 。 优 秀 教 材 是 培养 网 络 空间 安全 专业 人 才 的 关键 。 但 是 ,这 
又 是 一 项 十 分 艰巨 的 任务 。 原 因 有 二 : 其 一 ,网 络 空间 安全 的 涉及 面 非常 
广 ,至 少 包 括 密码 学 数学. 计算机、 通信 工程 .信息 工程 等 多 个 学 科 , 因 此 ,其 
知识 体系 庞杂 ,难以 梳理 ;其 二 ,网 络 空间 安全 的 实践 性 很 强 ,技术 发 展 更 新 
非常 快 ,对 环境 和 师资 要 求 也 很 高 。 

“Web 应 用 防火 墙 技 术 及 应 用 ”是 网 络 空 间 安 全 和 信息 安全 专业 的 基础 
课程 ,其 目标 是 使 学 生 掌握 Web 应 用 防火 墙 技术 及 应 用 。 

本 书 涉及 的 知识 面 很 宽 。 全 书 共 8 章 。 第 1 章 为 Web 系统 安全 概述 ， 
第 2 章 介绍 Web 应 用 防火 墙 , 第 3 章 介 绍 HTTP 校 验 和 访问 控制 ,第 4 章 介 
绍 Web 防护 ,第 5 章 介 绍 网 页 防 算 改 ,第 6 章 介绍 分 布 式 拒绝 服务 攻击 防 
护 , 第 7 章 介 绍 威 胁 情报 中 心 ,第 8 章 介绍 典型 案例 。 

本 书 既 适合 作为 网 络 空间 安全 、 信 息 安全 等 专业 的 本 科 生 相关 专业 基础 
课程 的 教材 ,也 适合 作为 网 络 安全 研究 人 员 的 和 人 门 基础 读物 。 本 书 的 内 容 将 
随 着 新 技术 的 发 展 而 更 新 。 

由 于 作者 水 平 有 限 , 书 中 难免 存在 足 漏 和 不 受 之 处 ,欢迎 读者 批评 指正 。 


作 者 
2018 年 8 月 


了 
雪 沟 


1.4 
思考 


第 2 章 
,二 
2 光 


2.3 


2.4 


思考 


Web 系统 安全 概述 
Web 系统 安全 现状 
Web 网 站 系统 结构 


Web 安全 漏洞 


Web 安全 三 及 前 沿 赵 势 
题 … 


Wb 应 省 蚁 业 所 Den 


WAF 简介 
WAF 的 功能 及 特点 


站 
2.2.3 WAF 产品 性 能 指标 sesamiae 


WAF 部 署 


WAF 防护 原理 
2.4.1 Web 应 用 安全 监测 


F 双重 边界 ee 
题 


本 
玉 
| 


~ Com 本 


全 


Web 应 用 防火 墙 技术 及 应 用 gm 


第 3 章 下 
3.1 _ HTTP 
3.1.1 HTTP 简介 … 
统一 资源 定位 符 ， 


人 


一 
wy 


ST 
3.2 HTTP 校 验 …… 


ee 


思考 题 - 


第 4 章 Web 防护 .ee 


Cookie ee 





25 
27 
28 





34 


DT A TE 
i 大 晤 黄 直 和 人 的 RRARE 们 


4.1.2 弱 密 码 检测 …: 
4.1.3 弱 密 码 防 范 …: 
二 Ci 注 人 eas evasonsstssnss 


4.3.2 XSS 漏洞 利用 … 


ps 


4.4.4 CSRF 漏洞 防范 ， 
4.5 恶意 流量 攻击 ……………………… 
4.5.1 疏 虫 攻击 分 析 … 


Es 
全 计 遇 和 现 二 关机 
.Ne 
ed 





37 
38 
40 
42 





66 
67 


< | 


4.6.1 文件 上 传 攻击 原理 67 
4.6.2 文件 上 传 攻击 防 翘 “69 
4.6.3 文件 下 载 攻 击 原理 0 
4.6.4 文件 下 载 攻 击 防范 2 
4.7 Web 服务 器 敏感 信息 泄露 4 
4.7.1 敏感 信息 泄露 原理 
4.7.2 敏感 信息 泄露 检测 ， ‘ 
4.7.3 敏感 信息 泄露 防范 8 





5.3.1 时 间 轮 询 技术 …“ 

5.3.2 ”核心 内 嵌 技 术 …- 

吉宗 二 了 和 网 南座 管 址 技术 酌 对 虞 seeneaessooeeaanasieaesnsiaaae 8 
家 全. 守 生 页 防 玫 二 宁 统 canine 的 罗 
是 





章 分 布 式 拒绝 服务 攻击 防护 a a 
6.1 DDoS 攻击 原理 … yg 
6.2 DDoS 攻击 现象 与 特点 ， 
6.3 ”DDoS 攻击 方式 … 
6.4 DDoS 攻击 的 防御 方法 pp 109 
6.4.1 DDoS 攻击 的 治理 … 人 
6.4.2 DDoS 攻击 的 缓解 … 








7.1 威胁 情报 概述 122 
7.1.1 威胁 情报 定义 122 
三 本 威胁 情报 分 类 … 125 
1 威胁 情报 服务 和 威胁 情报 的 用 途 1126 


ee Web 应 用 防火 墙 技术 及 应 用 gm 
7.3 智慧 Web 应 用 防火 墙 定 28 
轧 考题: 29 





第 8 “时 到 条例 ! 
8.1 防 数据 泄露 解决 方案 … 130 
8.1.1 背景 及 需求 ……… … 130 

8.1.2 解决 方案 及 分 析 … “3 

.2 芒 DDoS 或 击 解 闫 方案 tO 各 3 
8.2.2 解决 方案 及 分 析 … “133 

8.3 ” 防 网 页 复 改 解决 方案 …… … 134 
8.3.1 背景 及 需求 ……… 134 












附录 态 WAE 技术 美文 妨 略 逢 a ni 136 


Web 应 用 防火 墙 技术 及 应 用 





第 1 芋 本 ee 
Web 系统 安全 概述 


随 着 信息 通信 技术 和 互联 网 技术 的 飞速 发 展 , 网 络 不 仅 改变 了 人 们 的 生活 方式 ,还 推 
动 了 传统 工业 、 新 兴 服 务 业 和 信息 产业 的 快速 发 展 ,带动 了 国民 经 济 发 展 和 社会 进步 。 互 
联网 逐渐 改变 了 人 们 的 生活 方式 ,人 们 可 以 利用 互联 网 轻松 完成 信息 检索 、 网 上 购物 和 移 
动 支付 等 。 当 人 们 在 使 用 各 种 互联 网 应 用 时 ,也 面临 着 网 络 安全 的 巨大 挑战 。Web 系统 
在 飞速 发 展 的 同时 也 面临 着 诸多 安全 隐患 。 本 章 主要 介绍 Web 系统 安全 情况 ,学 习 者 通 
过 本 章 应 了 解 Web 系统 安全 现状 ,理解 Web 网 站 系统 结构 和 Web 安全 漏洞 分 析 。 


1.1 ”Web 系统 安全 现状 





我 国 的 互联 网 发 展 十 分 迅猛 。 根 据 中 国 互 联网 络 信息 中 心 CCNNIC) 发 布 的 (中 国 互 
联网 络 发 展 状况 统计 报告 》 显 示 ,截至 2017 年 年 底 , 中 国 网 民 规 模 达 7. 72 亿 , 全 年 共计 新 
增 网 民 4074 万 人 ,互联 网 普及 率 达 到 55.8%, 较 2016 年 年 底 提升 2. 6 个 百分点 。 

根据 工业 和 信息 化 部 的 相关 规定 ,网 站 域名 须 在 主管 部 门 备案 。 一 般 网 站 正常 备案 
的 类 型 为 政府 机 关 、 军 队 、 事 业 单 位 、 社 会 团体 .企业 .个 人 、 基 金 会 .律师 事务 所 等 。 截 至 
2017 年 年 底 , 中 国 域名 总 数 为 3847 万 个 ,其 中 “. cn” 域 名 总 数 年 增长 为 25. 9% ,达到 
2085 万 个 ,在 中 国 域名 总 数 中 占 比 达 54. 2%。 

根据 360 网 站 安全 检测 平台 2017 年 全 年 的 扫描 情况 ,从 域名 类 型 统计 看 ,在 全 球 通 
用 域名 中 . com 域名 最 多 , 占 比 为 64.2%% ;其 次 是 . net(5.9%)、. org(1.7%); 在 中 国 域名 
中 ,. gov.cn 占 比 为 3.6%,. edu. cn 占 比 为 1.6% ,其 他 普通 的 . cn 域名 (不 含 . gov 和 
.edu) 为 23.0%% ,如 图 1-1 所 示 。 

网 络 给 人 们 的 生活 带 来 了 极 大 的 便利 。 然 而 ,由 于 网 络 系统 的 开放 性 、 现 有 网 络 协 议 
和 软件 系统 存在 的 各 种 安全 缺陷 或 漏洞 ,各 种 网 络 攻 击 事件 频 发 ,如 病毒 传播 网 页 筑 改 、 
信息 窃取 等 ,给 国家 安全 、 企 业 利 益 和 个 人 权益 带 来 了 极 大 危害 ,并 造成 了 巨大 的 经 济 
损失 。 

网 站 信息 泄露 事件 层出不穷 ,最 引 人 关 注 的 有 ”京东 12GB 用 户 数据 外 泄 近 国家 电力 
APP 疑似 泄露 千 万 用 户 信息 ”等 事件 。 大 量 的 实际 案例 和 研究 表明 ,网 站 个 人 信息 泄露 
已 成 为 网 络 诈骗 的 助 推 器 。 从 中 国 互 联网 协会 发 布 的 (中 国 网 民权 益 保 护 调查 报告 
2016》 可 以 看 到 ,网 民 在 网 络 购物 过 程 中 ,遭遇 个 人 信息 泄露 的 占 51%,84% 的 人 因 信 息 
泄露 受到 骚扰 、 金 钱 损失 等 不 良 影响 ,2016 年 ,网 民 因 个 人 信息 泄露 等 遭受 的 经 济 损失 高 
达 915 亿 元 。 
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2017 年 360 网 站 安全 监测 网 站 类 型 分 布 ( 按 域名 类 型 统计 ) 


‘gov.cn -edu.cn -Org 
.net 3.6% E60 = 1.7% 


5.9% 一 
Eee 










其 他 .cn( 不 含 .gov 和 
.edu) 






23.0% 





图 1-1 网 站 域名 类 型 分 布 图 


另外 ,在 网 络 黑 产 中 ,交易 个 人 信息 成 为 整个 产业 链 中 重要 的 一 环 。 据 报道 , 仅 需 花 
费 700 元 即 可 买 到 11 项 个 人 隐私 信息 ,涉及 个 人 航班 记录 存款 记 录 、 开 房 记录 、 手 机 实 
时 定位 信息 、 手 机 通话 记录 等 。 

大 量 个 人 信息 泄露 ,主要 由 两 方面 原因 所 致 : 一 是 网 站 存在 安全 漏洞 ,被 攻击 者 人 
侵 ; 二 是 网 站 内 部 人 员 非 法 盗卖 。 

根据 360 网 站 安全 检测 平台 2017 年 全 年 的 扫描 情况 ,存在 漏洞 的 网 站 有 69. 1 万 个 ， 
占 扫描 网 站 总 数 的 66. 0%; 存 在 高 危 漏洞 的 网 站 有 34. 4 万 个 , 占 扫描 网 站 总 数 的 
32.9%。2017 网 站 存在 漏洞 情况 如 图 1-2 所 示 。 





2017 年 网 站 存 情况 ( 扫描 检测 ) 





2017 年 扫描 网 站 总 数 : 104.7 万 








图 1-2 2017 年 网 站 存在 漏洞 情况 


从 漏洞 的 危险 等 级 看 ,2017 年 高 危 漏 洞 数量 占 47. 3%% ,中 危 漏洞 数量 占 20. 5%, 低 
危 漏 洞 数量 占 32. 2% ,如 图 1-3 所 示 。 
这 
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2017 年 网 站 漏洞 危险 等 级 分 布 ( 扫描 检测 ) 






低 危 
32.2% 








1-3 2017 年 网 站 漏洞 危险 等 级 分 布 


Ti Web 网 站 系统 结构 





Web 系统 安全 性 与 Web 网 站 系统 结构 密切 相关 。 根 据 Web 网 站 的 性 质 和 系统 结 
构 , 通 常 将 Web 网 站 分 为 静态 网 站 和 动态 网 站 两 种 。 


1.2.1 静态 网 站 


静态 网 站 是 指 以 静态 网 页 发 布 内 容 的 网 站 ,一 般 不 具备 网 站 交互 式 功能 。 静 态 网 站 
由 两 个 部 分 组 成 : Web 服务 器 和 Web 客户 端 。 

Web 服务 器 以 静态 页 面 形 式 发 布 网 站 内 容 , 网 站 内 容 全 部 由 HTML 代码 格式 的 静 
态 页 面 组 成 ,所 有 的 内 容 均 包含 在 网 页 文件 中 ,一 般 不 需要 建立 数据 库 。 

Web 客户 端 为 支持 HTTP 或 HTTPS 协议 的 通用 浏览 器 ,如 IE 和 360 安全 浏览 器 
等 。 用 户 使 用 浏览 器 访问 Web 网 站 。 


1.2.2 动态 网 站 


动态 网 站 是 指 网 页 内 容 可 以 根据 不 同情 况 做 出 动态 变化 的 网 站 ,主要 用 于 实现 各 种 
交互 功能 ,如 用 户 注册 、 信 息 发 布 .产品 展示 、 订 单 管理 .电子 商务 和 网 上 支付 等 。 
动态 网 站 系统 一 般 由 Web 服务 器 \ 数 据 库 系统 、Web 客户 端 3 个 部 分 组 成 ,如 图 1-4 


所 示 。 


Web 客 户 端 数据 库 系统 Web 服 务 器 
图 1-4 动态 网 站 系统 
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Web 服务 器 以 动态 网 页 形式 发 布 网 站 内 容 。 动 态 网 页 并 不 是 独立 存在 于 服务 器 的 
页 文件 ,而 是 根据 浏览 器 发 出 的 不 同 请 求 返回 不 同 的 网 页 内 容 , 动 态 网 页 中 通常 包含 服 
务 器 端 脚本 程序 。 

常见 的 服务 器 端 脚本 程序 有 ASP、JSP 和 PHP 3 种 类 型 。 

(1) ASP(Active Server Page, 动态 服务 器 页 面 ) 是 微软 公司 开发 的 动态 网 页 设计 应 
用 程序 , 它 可 以 与 数据 库 和 其 他 程序 进行 交互 ,是 一 种 简单 方便 的 编程 工具 。ASP 的 网 
页 文件 格式 是 . asp。 

(2) JSP(Java Server Pages,Java 服务 器 页 面 ) 主 要 用 于 实现 Java Web 应 用 程序 的 用 
户 界面 部 分 。 用 JSP 开发 的 Web 应 用 是 跨 平台 的 , 既 能 在 Linux 上 运行 ,也 能 在 
Windows 上 运行 。 

(3) PHP(Hypertext Preprocessor, 超 文本 预 处 理 语言 ) 是 一 种 通用 开源 脚本 语言 。 
PHP 将 程序 嵌入 HTML(Hypertext Markup Language, 超 文本 标记 语言 ) 文 档 中 执行 ， 
执行 效率 较 高 。 

数据 库 系 统 主要 用 来 提供 网 站 数据 的 存储 和 查询 功能 ,有 无 数据 库 系 统 是 区 别 动态 
网 站 和 静态 网 站 的 主要 特征 。 

Web 客户 端 为 支持 HTTP 或 HTTPS 协议 的 通用 浏览 器 ,用 户 使 用 浏览 器 访问 
Web 网 站 。 

从 应 用 逻辑 上 ,一 个 Web 应 用 系统 由 表示 层 `, 业 务 逻 辑 层 和 数据 层 组 成 ,如 图 1-5 
所 示 。 

业务 逻辑 层 


发 送 应 用 请 求 _ 国 
i “em 国 


加 1-5 ”Web 应 用 系统 三 层 构架 





(1) 表示 层 。 位 于 最 上 层 , 主 要 为 用 户 提供 交互 式 操作 的 用 户 界面 ,用 来 接收 用 户 输 
入 的 数据 以 及 显示 请 求 返回 的 结果 。 它 将 用 户 的 输入 传递 给 业务 逻辑 层 , 同 时 将 业务 罗 
辑 层 返回 的 数据 显示 给 用 户 。 

(2) 业务 逻辑 层 。 是 三 层 架 构 中 最 核心 的 部 分 ,是 连接 表示 层 和 数据 层 的 纽带 ,主要 
用 于 实现 与 业务 需求 有 关 的 系统 功能 ,如 业务 规则 的 制定 .业务 流程 的 实现 等 。 它 接收 和 
处 理 用 户 输 入 的 信息 ,与 数据 层 建立 连接 ,将 用 户 输入 的 数据 传递 给 数据 层 进行 存储 ,或 
者 根据 用 户 的 命令 从 数据 层 中 读 出 所 需 数 据 , 并 返回 到 表示 层 展 现 给 用 户 。 

(3) 数据 层 。 主 要 负责 对 数据 的 操作 ,包括 对 数据 的 读 取 、 增 加 、 修 改 和 删除 等 。 数 
据 层 可 以 访问 的 数据 类 型 有 多 种 ,如 数据 库 系统 、 文 本 文件 二 进 制 文 件 和 XML 文档 等 。 
在 数据 驱动 的 Web 应 用 系统 中 ,需要 建立 数据 库 系 统 ,通常 采用 SQL 语言 对 数据 库 中 的 
数据 进行 操作 。 

Web 应 用 系统 的 工作 流程 如 下 : 表示 层 接 收 用 户 浏 览 器 的 查询 命令 ,将 参数 传递 给 
业务 逻辑 层 ; 业 务 逻 辑 层 将 参数 组 合成 专门 的 数据 库 操作 SQL 语句 ,发 送 给 数据 层 ; 数 据 
4 
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层 执行 SQL 操作 后 ,将 结果 返回 给 业务 逻辑 层 ;业务 逻辑 层 将 结果 在 表示 层 展 现 给 用 户 。 
动态 网 站 主要 用 于 支持 复杂 的 Web 应 用 系统 ,最 容易 产生 安全 漏洞 ,因此 它 成 为 
Web 系统 安全 防护 的 重点 。 


1.2.3 Web 服务 器 


Web 服务 器 可 以 解析 各 种 动态 语言 ,让 动态 语言 生成 的 程序 最 终 能 显示 在 浏览 的 页 
面 上 。 


1. Microsoft IIS 

IIS(Internet Information Services, 互联 网 信息 服务 ) 是 由 微软 公司 提供 的 基于 
Microsoft Windows 运行 的 互联 网 基本 服务 ,是 一 种 Web 服务 组 件 ,其 中 包括 Web 服务 
器 文件 传输 协议 (File Transfer Protocol, FTP) 服 务 器 ,网 络 新 闻 传 输 协议 (Network 
News Transfer Protocol, NNTP) 服 务 器 和 简单 邮件 传输 协议 (Simple Mail Transfer 
Protocol,SMTP) 服 务 器 ,分 别 用 于 网 页 浏览 文件 传输 、 新 闻 服 务 和 邮件 传输 等 。IIS 简 
单 易 用 ,但 存在 诸多 安全 隐患 。 


2. Apache 

Apache HTTP Server( 简 称 Apache) 是 Apache 软件 基金 会 的 一 个 开放 源码 的 网 页 
服务 器 ,可 以 在 大 多 数 计算 机 操作 系统 上 运行 ,由 于 其 多 平台 和 安全 性 而 被 广泛 使 用 ,是 
流行 的 Web 服务 器 端 软件 之 一 。 

Apache 由 一 个 较 小 的 内 核 和 一 些 模块 组 成 ,支持 许多 特性 ,大 部 分 通过 编译 模块 实 
现 。 服 务 器 运行 时 这 些 模块 被 动态 加 载 , 这 些 模块 包括 从 服务 器 端的 编程 语言 支持 到 身 
份 认证 方案 。 可 以 通过 简单 的 应 用 程序 编程 接口 (Application Programming Interface， 
APD 扩 展 一 些 通用 的 语言 支持 ,如 Perl、Python、TCL 和 PHP。 


3. Nginx 

Nginx 是 轻 量 级 的 超 文本 传输 协议 (Hypertext Transfer Protocol, HTTP) 服 务 器 ， 
是 一 个 高 性 能 的 HTTP 和 反 向 代理 服务 器 。Nginx 以 事件 驱动 的 方式 编写 ,所 以 性 能 较 
高 ,同时 也 能 高 效 地 实现 反 向 代理 和 负载 平衡 。 

Nginx 具有 较 高 的 稳定 性 。 当 其 他 HTTP 服务 器 遇 到 访问 峰值 或 者 攻击 者 恶意 发 
起 的 慢 速 连接 时 ,很 可 能 会 导致 服务 器 因 物 理 内 存 耗 尽 、 频 繁 交换 而 失去 响应 ,只 能 重启 
服务 器 。 而 Nginx 采用 分 阶段 资源 分 配 技术 ,因此 CPU 与 内 存 占用 率 非常 低 。 


4. WebLogic 
WebLogic 是 BEA 公司 推出 的 用 于 开发 、 集 成 .部 署 和 管理 大 型 分 布 式 Web 应 用 、 网 
络 应 用 和 数据 库 应 用 的 Java 应 用 服务 器 。 将 Java 的 动态 功能 和 Java Enterprise 标准 的 
安全 性 引入 大 型 网 络 应 用 的 开发 .集成 .部 署 和 管理 之 中 。 
BEA WebLogic Server 拥有 处 理 关键 Web 应 用 系统 问题 所 需 的 性 能 、 可 扩展 性 和 高 
可 用 性 。 与 BEA WebLogic Commerce Server 配合 使 用 ,BEA WebLogic Server 可 为 部 
署 适应 性 个 性 化 电子 商务 应 用 系统 提供 完善 的 解决 方案 。WebLogic 长 期 以 来 一 直 被 
5 
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认为 是 市 场 上 最 好 的 J2EE 工具 之 一 。 


全 2 Web 安全 漏洞 





1.3.1 应 用 系统 安全 漏洞 


Web 应 用 系统 安全 漏洞 是 指 Web 应 用 系统 的 软件 ,硬件 或 通信 协议 中 存在 安全 缺 
陷 或 不 适当 的 配置 ,攻击 者 可 以 在 未 授权 的 情况 下 非法 访问 系统 ,给 Web 应 用 系统 安全 
造成 严重 的 威胁 。 

Web 应 用 系统 安全 漏洞 大 致 可 分 成 如 下 4 类 。 

(1) 软件 漏洞 。 任 何 一 种 软件 系统 都 存在 脆弱 性 。 软 件 漏洞 可 以 看 作 编程 语言 的 局 
限 性 。 例 如 ,一 些 程序 如 果 接 收 到 异常 或 者 超 长 的 数据 和 参数 就 会 导致 缓冲 区 溢出 。 这 
是 因为 很 多 软件 在 设计 时 忽略 了 或 者 很 少 考虑 安全 性 问题 ,即使 在 程序 设计 中 考虑 了 安 
全 性 ,也 往往 因为 开发 人 员 缺 乏 安全 培训 或 没有 安全 编程 经 验 而 造成 安全 漏洞 。 此 类 安 
全 漏洞 可 以 分 为 两 种 : 一 种 是 由 于 操作 系统 本 身 设计 缺陷 带 来 的 安全 漏洞 ,这 种 漏洞 将 
被 运行 在 该 系统 上 的 应 用 程序 所 继承 ; 另 一 种 是 应 用 程序 的 安全 漏洞 ,这 种 漏洞 最 常见 ， 
更 要 引起 广泛 的 关注 。 

(2) 结构 漏洞 。 一 些 网 络 系统 在 设计 时 忽略 了 网 络 安全 问题 ,没有 采取 有 效 的 网 络 
安全 防护 措施 ,从 而 使 网 络 系统 处 于 不 设防 状态 ;在 一 些 重要 网 段 中 ,交换 机 、 路 由 器 等 网 
络 设备 设置 不 当 , 造 成 网 络 流量 被 监听 和 获取 。 

(3) 配置 漏洞 。 一 些 网 络 系统 中 管理 员 忽略 了 安全 策略 的 制定 ,此 时 即使 采取 了 一 
定 的 安全 防护 措施 ,但 由 于 系统 的 安全 配置 不 合理 或 不 完整 ,安全 机 制 没 有 发 挥 作用 ;在 
网 络 系统 发 生变 化 后 ,由 于 没有 及 时 更 改 系统 的 安全 配置 而 造成 安全 漏洞 。 

(4) 管理 漏洞 。 由 于 网 络 管理 员 的 政 漏 和 麻痹 造成 的 安全 漏洞 。 例 如 ,管理 员 口令 
太 短 或 长 期 不 更 换 , 攻 击 者 采用 弱 口 令 进行 攻击 ;两 台 服务 器 共用 同一 个 用 户 名 和 口令 ， 
如 果 一 个 服务 器 被 人 侵 , 则 另 一 个 服务 器 也 不 能 幸免 。 

从 这 些 安全 漏洞 产生 的 原因 来 看 , 既 存 在 技术 因素 ,也 有 管理 因素 和 人 员 因 素 。 实 际 
上 ,攻击 者 正 是 分 析 了 与 目标 系统 相关 的 技术 因素 、 管 理 因素 和 人 员 因 素 后 ,寻找 并 利用 
其 中 的 安全 漏洞 来 人 侵 系 统 。 因 此 ,必须 从 技术 手段 .管理 制度 和 人 员 培 训 等 方面 采取 有 
效 的 措施 来 防止 出 现 安全 漏洞 并 修补 安全 漏洞 ,提高 网 络 系统 的 安全 防范 能 力 和 水 平 。 


1.3.2 Web 漏洞 类 型 


Web 系统 存在 各 种 安全 隐患 ,安全 隐患 的 危害 程度 不 同 。 在 网 络 技术 日 新 月 异 的 今 
天 ,攻击 技术 也 在 不 断 发 展 ,SQL 注入 、XSS 漏洞 、 敏 感 信息 泄露 等 安全 隐患 层出不穷 。 
了 解 和 掌握 这 些 Web 系统 安全 隐患 的 原理 ,可 以 帮助 网 络 安全 运 维 人 员 更 好 地 抵御 攻 
击 , 保 障 信息 系统 的 安全 。 

开放 式 Web 应 用 程序 安全 项 目 (Open Web Application Security Project,OWASP) 
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是 一 个 提供 有 关 计 算 机 和 互联 网 应 用 程序 信息 的 组 织 , 其 目的 是 协助 个 人 企业 和 机 构 发 
现 和 使 用 可 信赖 软件 。OWASP 组 织 最 具 权 威 的 就 是 定期 发 布 的 十 大 安全 漏洞 列表 ,该 
表 总 结 了 Web 应 用 程序 最 可 能 、 最 常见 危害 性 最 大 的 10 种 漏洞 ,帮助 IT 公司 和 开发 团 
队 规 范 应 用 程序 开发 流程 和 测试 流程 ,提高 Web 系统 的 安全 性 。OWASP 在 2017 年 公 
布 的 十 大 安全 漏洞 如 表 1-1 所 示 ,其 中 还 列 出 了 2013 年 的 十 大 安全 漏洞 作为 对 比 。 


图 1-1 OWASP 十 大 安全 漏洞 
































序号 OWASP Top 10(2013) OWASP Top10(2017) 
1 注入 注入 
2 失效 的 身份 认证 和 会 话 管理 失效 的 身份 认证 和 会 话 管理 
3 跨 站 脚本 跨 站 脚本 
4 直接 引用 不 安全 的 对 象 失效 的 访问 控制 (new) 
5 安全 配置 错误 安全 配置 错误 
6 敏感 信息 泄露 敏感 信息 泄露 
7 缺少 功能 级 访问 控制 攻击 检测 与 预防 不 足 (new) 
8 跨 站 请 求 伪 造 跨 站 请 求 伪造 
9 使 用 含有 已 知 的 漏洞 组 件 使 用 含有 已 知 的 漏洞 组 件 
10 未 验证 的 重 定 向 和 转发 未 受 保护 的 APICnew) 








根据 360 网 站 安全 检测 平台 扫描 的 高 危 漏洞 情况 , 跨 站 脚本 攻击 漏洞 的 扫 出 次 数 和 
漏洞 网 站 数量 都 是 最 多 的 ,其 次 是 SQL 注入 漏洞 .SQL 注入 漏洞 ( 盲 注 )、PHP 错误 信息 
泄露 等 漏洞 类 型 。 表 1-2 给 出 了 360 网 站 安全 检测 平台 在 2017 年 1 一 10 月 的 十 大 高 危 
漏洞 。 


表 1-2 ”2017 年 1 一 10 月 十 大 高 危 漏 洞 
































漏洞 名 称 扫 出 次 数 /万 次 漏洞 网 站 数 /万 个 
跨 站 脚本 攻击 漏洞 91.7 7.6 
SQL 注入 漏洞 18.8 1.7 
SQL 注入 漏洞 ( 盲 注 ) 18.0 估 汉 
PHP 错误 信息 泄露 9.2 0.7 
数据 库 运 行 时 错误 0 0.5 
跨 站 脚本 攻击 漏洞 (路 径 ) 扔 学 | 
使 用 存在 漏洞 的 JQuery 版 本 3.7 1.8 
MS15-034 HTTP. sys 远程 代码 执行 1.8 0.9 
发 现 SVN 版 本 控制 信息 文件 站 沪 0.2 
跨 站 脚本 攻击 漏洞 (文件 ) 起 才 0.2 
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根据 各 类 网 站 安全 漏洞 被 扫 出 次 数 的 统计 情况 ,应 用 程序 错误 (287.7 万 次 ) 发 现 敏 
感 名 称 的 目录 漏洞 (184. 1 万 次 ) 和 异常 页 面 导致 服务 器 路 径 泄露 (122.7 万 次 ) 这 3 类 安 
全 漏洞 在 网 站 安全 漏洞 中 排 在 前 3 位 ,三 者 之 和 超过 其 他 所 有 漏洞 检 出 次 数 的 总 和 。 
表 1-3 给 出 了 被 扫 出 次 数 最 多 的 10 类 网 站 安全 漏洞 。 


表 1-3 2017 年 扫 出 数量 最 多 的 10 类 网 站 安全 漏洞 
































漏洞 名 称 漏洞 级 别 扫 出 次 数 /万 次 漏洞 网 站 数 /万 个 
应 用 程序 错误 低 危 287.7 8.9 
发 现 敏感 名 称 的 目录 漏洞 低 危 184.1 16.1 
异常 页 面 导致 服务 器 路 径 泄露 低 危 1 8.0 
X-Frame-Options 头 未 设置 低 危 105.7 36.8 
跨 站 脚本 攻击 漏洞 高 危 91.7 7.6 
发 现 robots. txt 文件 低 危 68.7 28.7 
Web 服务 器 启用 了 OPTIONS 方法 低 危 64.9 65.7 
IIS 版 本 号 可 以 被 识别 低 危 43.9 18.4 
Cookie 没有 HttpOnly 标志 低 危 30.3 10.1 
IIS 短文 件 名 泄露 漏洞 低 危 24.0 9.6 











SQL 注入 、XSS 漏洞 . 跨 站 请 求 伪造 攻击 .恶意 流量 攻击 ,文件 上 传 下 载 漏洞 网 页 复 
改 .DDoS 攻击 等 技术 细节 将 在 后 续 章 节 具 体 描述 。 


1.3.3 Web 系统 安全 技术 


Web 网 站 是 一 种 开放 的 信息 系统 , 它 所 面临 的 主要 安全 风险 是 来 自 攻 击 者 的 外 部 攻 
击 , 包 括 分 布 式 拒绝 服务 (DDoS) 攻 击 、 网 络 病毒 攻击 以 及 各 种 渗透 式 攻 击 等 。DDoS 攻 
击 和 网 络 病毒 攻击 可 能 造成 Web 网 站 瘫痪 ,渗透 式 攻击 可 能 造成 网 页 内 容 被 算 改 、 网 页 
被 挂 马 以 及 敏感 信息 被 泄露 等 ,给 Web 网 站 及 应 用 系统 安全 带 来 严重 的 后 果 。 因 此 ,对 
Web 网 站 及 应 用 系统 的 安全 防护 非常 有 必要 。 

由 于 大 多 数 的 网 络 攻击 利用 了 信息 系统 中 的 各 种 安全 漏洞 ,包括 各 种 软件 漏洞 配置 
漏洞 .结构 漏洞 以 及 管理 漏洞 等 ,及 时 检测 并 修复 信息 系统 中 的 安全 漏洞 ,对 于 保障 信息 
系统 安全 是 十 分 重要 的 。 因 此 ,安全 漏洞 检测 技术 是 一 种 重要 的 信息 安全 技术 。 

常用 的 信息 安全 技术 有 防火 墙 系统 、 防 病毒 系统 、 访 问 控制 系统 、 入 侵 检测 系统 
(IDS) 、 入 侵 防 护 系 统 (IPS) ,漏洞 扫描 系统 、 安 全 审计 系统 ,数据 备份 系统 、 安 全 监管 系统 
等 ,按照 相应 的 保护 等 级 ,综合 运用 这 些 信息 安全 技术 及 产品 对 信息 系统 实施 有 效 的 安全 
保护 。 

在 Web 网 站 系统 中 ,存在 着 Web 服务 器 和 Web 应 用 系统 两 个 层面 的 安全 问题 , 针 
对 Web 应 用 系统 的 各 类 注入 攻击 ,如 SQL 注入 攻击 、XSS 攻击 以 及 其 他 注入 攻击 等 ,使 
用 常规 的 安全 防护 设备 ,例如 防火 墙 、 入 侵 检 测 系统 等 ,很 难 达 到 良好 的 防护 效果 。 因 此 ， 
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针对 Web 安全 问题 而 发 展 起 来 的 Web 系统 安全 技术 ,如 Web 安全 漏洞 检测 技术 、Web 
应 用 防火 墙 技 术 等 ,成 为 当前 信息 安全 技术 的 研究 热点 ,本 书 主要 介绍 Web 应 用 防火 墙 
技术 。 


1.4 ”Web 安全 威胁 前 沿 趋 势 





1. 不 当 信息 公开 导致 大 量 政 府 网 站 信息 泄露 

2017 年 ,国内 发 生 了 一 系列 的 政府 机 构 泄露 信息 事件 。 让 人 惊讶 的 是 ,这 些 事件 大 
多 是 由 于 政府 网 站 在 政务 公开 环节 不 必要 地 公开 了 相关 人 员 完 整 的 ,详细 的 身份 信息 而 
造成 的 ,被 不 当 公 开 的 信息 包括 完整 的 身份 证 号 码 、 联 系 电话 等 。 

例如 ,2017 年 10 月 10 日 , 某 市 财政 局 在 市 政府 信息 公开 网 发 布 的 通知 中 公布 了 900 
余 名 合格 考生 的 证 书 编号 、 准 考证 号 .身份 证 号 码 、 姓 名 等 信息 。2017 年 10 月 31 日 ,在 
某 市 的 市 政府 信息 公开 网 发 布 的 公示 中 ,在 可 供 公众 下 载 的 文件 中 公布 了 学 生 姓 名 完整 
身份 证 号 以 及 联系 电话 等 。 

这 些 信息 泄露 事件 主要 是 由 于 有 关 部 门 的 人 员 缺 乏 最 基本 的 网 络 安全 常识 ,缺乏 最 
基本 的 公民 信息 保护 意识 而 引发 的 ,而 与 任何 网 络 攻 击 技术 或 网 站 安全 漏洞 无 关 。 类 似 
的 事件 在 全 国 各 地 时 有 发 生 ,很 多 城市 的 网 络 安全 建设 水 平 亟 待 提高 。 

同时 ,政务 公开 、 重 大 事件 公示 等 必要 的 行政 措施 与 公民 个 人 信息 保护 之 间 可 能 存在 
的 矛盾 也 值得 我 们 进行 更 深入 的 思考 。 表 面 上 看 ,似乎 可 以 找到 一 个 平衡 点 来 平衡 公开 、 
公平 与 隐私 保护 两 者 的 关系 。 但 实际 上 ,此 类 问题 涉及 法 律 法 规 .技术 手段 .公众 认 知 、 公 
职 人 员 安 全 意识 等 多 方面 的 复杂 因素 ,很 难 在 短 时 间 内 得 到 全 面 、 有 效 的 解决 。 


2. 勒索 软件 大 量 入 侵 服务 器 

2017 年 ,勒索 软件 的 攻击 进一步 聚焦 在 高 利润 目标 上 ,其 中 包括 高 净值 个 人 、 连 接 设 
备 和 企业 服务 器 。 特 别 是 针对 中 小 企业 网 络 服务 器 的 攻击 急剧 增长 ,已 经 成 为 2017 年 勒 
索 软件 攻击 的 一 大 鲜明 特征 。 据 不 完全 统计 ,2017 年 , 约 15% 的 勒索 软件 攻击 是 针对 中 
小 企业 服务 器 发 起 的 定向 攻击 , 尤 以 CrySiS、xtbl、 wallet、arena、Cobra 等 病毒 家 族 为 
代表 。 

客观 地 说 ,中 小 企业 往往 安全 架构 单一 ,容易 被 攻破 。 同 时 ,勒索 软件 以 企业 服务 器 
为 攻击 目标 ,往往 也 更 容易 获得 高 额 赎 金 。 例 如 ,针对 Linux 服务 器 的 勒索 软件 Rrebus 
虽然 名 气 不 大 , 却 轻松 地 从 韩国 Web 托管 公司 Nayana 收取 了 100 万 美元 赎金 ,是 震惊 全 
球 的 恶意 代码 “永恒 之 蓝 " 全 部 勒索 赎金 的 7 倍 之 多 。Nayana 公司 之 所 以 屈服 ,是 因为 该 
公司 超过 150 台 服 务 器 受到 攻击 ,上 面 托管 了 3400 多 家 中 小 企业 客户 的 站 点 。 这 款 勒 索 
病毒 的 覆盖 面 有 限 ,韩国 几乎 是 唯一 的 重 灾 区 。 

3. 挖 矿 木马 的 疯狂 敛财 暗流 

在 2017 年 这 个 安全 事件 频 发 的 年 份 ,除了 受到 全 世界 关注 的 WannaCry 勒索 病毒 的 
出 现 之 外 ,一 大 波 挖 矿 木马 也 悄然 出 现 。 不 同 于 勒索 病毒 的 明目张胆 , 挖 矿 木马 隐蔽 在 几 
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乎 所 有 安全 性 脆弱 的 角落 中 ,悄悄 消耗 着 计算 机 的 资源 。 由 于 其 隐蔽 性 极 强 ,大 多 数 PC 
用 户 和 服务 器 管理 员 难 以 发 现 挖 矿 木马 的 存在 ,这 也 导致 挖 矿 木马 数量 的 持续 增长 。 

挖 矿 机 程序 利用 计算 机 强大 的 运算 力 进行 大 量 运算 ,由 此 获取 数字 货币 。 由 于 硬件 
性 能 的 限制 ,数字 货币 玩家 需要 大 量 计算 机 进行 运算 以 获得 一 定数 量 的 数字 货币 ,因此 ， 
一 些 不 法 分 子 通 过 各 种 手段 将 挖 矿 机 程序 植 入 受害 者 的 计算 机 中 ,利用 受害 者 计算 机 的 
运算 力 进 行 挖 矿 ,从 而 获取 利益 。 这 类 在 用 户 不 知情 的 情况 下 植 入 用 户 计算 机 进行 挖 矿 
的 挖 矿 机 程序 就 是 挖 矿 木马 。 挖 矿 木马 最 早出 现 于 2013 年 。 由 于 数字 货币 交易 价格 不 
断 走高 , 挖 矿 木马 的 攻击 事件 也 越 来 越 频 繁 ,不 难 预测 未 来 挖 矿 木马 数量 将 继续 攀升 。 对 
于 挖 矿 木马 而 言 , 选 择 一 种 交易 价格 较 高 且 运 算 力 要 求 适中 的 数字 货币 是 短期 内 获得 较 
大 收益 的 保障 。 

2017 年 ,360 安全 团队 分 析 获 取 了 Satori. Coin. Robber 僵尸 网 络 利 用 “肉鸡 ”扫描 正 
在 挖 矿 的 设备 ,并 通过 算 改 其 挖 矿 设备 的 运算 力 和 代 币 ,致使 其 挖掘 的 虚拟 货币 流向 指定 
的 账户 。 


4. 反 人 工 检 测 技 术 大 范围 流行 

2013 年 ,360 安全 团队 曾经 监测 到 不 法 分 子 在 正常 网 站 中 植 入 一 段 判 断代 码 ,该 网 页 
自动 判断 访问 者 是 人 还 是 搜索 引擎 候 虫 ,如 果 是 人 就 跳 转 回 正常 页 面 ,如 果 是 搜索 引擎 假 
虫 就 继续 访问 非法 网 站 ,给 不 法 分 子 带 来 流量 ,使 其 从 中 非法 获 益 。 但 是 ,此 后 却 很 少 看 
到 不 法 分 子 使 用 这 种 方法 ,直到 2017 年 ,又 重新 监测 到 了 大 量 的 实际 案例 。 

不 法 分 子 为 了 使 自己 私自 搭建 的 非法 网 站 存活 时 间 更 长 久 ,更 加 难以 被 发 现 ,也 在 不 
断 地 改进 其 手法 ,使 其 更 加 具有 迷惑 性 。 当 使 用 正常 手段 访问 网 页 时 ,网 页 自身 显示 没有 
问题 ,并 且 由 于 隐 项 性 较 高 ,第 一 时 间 通 过 肉眼 难以 观察 到 不 正常 现象 。 

不 法 分 子 这 样 做 的 主要 目的 是 希望 合法 网 站 拥有 者 (技术 能 力 比较 薄弱 ) 访 问 之 后 认 
为 自己 的 网 站 没有 问题 ,但 是 实际 上 自己 的 网 站 正在 被 黑 产 利用 以 产生 效益 。 不 法 分 子 
采用 这 种 手法 的 特点 如 下 : 

(1) 保证 了 对 黑 产 SEO 的 优化 效率 。 

(2) 网 站 管理 者 很 难 及 时 发 现 黑 链 并 将 其 删除 。 

(3) 隐 项 性 极 高 ,即使 网 站 管理 者 知道 存在 这 种 情况 ,也 可 能 因为 没有 能 力 而 找 不 到 
黑 链 。 

(4) 延长 黑 链 的 存活 时 间 ,拥有 更 高 的 存活 率 。 

(5) 网 站 运 维 人 员 即 使 接 到 了 领导 机 构 或 第 三 方 机 构 通报 ,也 很 难 发 现 黑 链 。 


5. 物 联网 威胁 更 加 突出 

在 物 联 网 时 代 , 网 络 安全 形势 非但 没有 好 转 , 相 反 越 来 越 严峻 。 主 要 原因 有 以 下 两 
个 : 一 是 连接 的 设备 更 多 ,预防 更 加 困难 ;二 是 物 联网 和 互联 网 将 虚拟 世界 和 现实 世界 连 
在 一 起 ,未 来 发 生 在 网 络 世界 的 攻击 可 能 变 成 物理 世界 真实 的 伤害 。 信 息 安全 、 物 理 安 
全 、 人 身 安全 是 可 以 跨 界 且 融 会 贯通 的 ,这 些 智 能 硬件 设备 如 果 存 在 安全 漏洞 或 缺陷 ,一 
且 被 恶意 利用 ,那么 发 生 在 网 络 世界 的 攻击 就 有 可 能 波及 人 身 安全 。 这 也 使 得 个 人 信息 、 
数据 面临 的 网 络 安全 挑战 变 得 空前 巨大 。 
10 
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2017 年 5 月 ,http81 僵尸 网 络 的 幕后 操控 者 远程 人 侵 了 大 量 没 有 及 时 修复 漏洞 的 网 
络 摄像 头 设备 ,在 这 些 摄像 头 中 植 和 人 恶意 代码 ,只 要 发 出 指令 就 可 以 随时 向 任何 目标 实施 
DDoS 攻击 。 统 计 显 示 ,http8l 僵尸 网 络 在 中 国 已 经 感染 并 控制 了 超过 5 万 台 网 络 摄 
像 头 。 

2017 年 8 月 3 日 ,印度 多 地 发 生 BrickerBot 网 络 攻击 事件 ,影响 了 Bharat Sanchar 
Nigam Limited(BSNL) 和 Mahanagar Telephone Nigam Limited(MTNL) 这 两 家 印度 国 
有 电信 服务 提供 商 的 机 房 内 的 调制 调解 器 以 及 用 户 的 路 由 器 ,该 事件 导致 印度 东北 部 、 北 
部 和 南部 地 区 调制 调解 器 丢失 网 络 连接 , 约 6 万 台 调 制 调解 器 掉 线 ,影响 了 45% 的 宽带 


6. WebLogic 反 序 列 化 漏洞 攻击 可 能 爆发 

2017 年 12 月末, 国外 安全 研究 者 K. Orange 在 Twitter 上 爆 出 有 黑 产 团体 利用 
WebLogic 反 序 列 化 漏洞 对 全 球 服务 器 发 起 大 规模 攻击 。 有 大 量 企 业 服务 器 已 失陷 且 被 
安装 上 了 watch-smartd 挖 矿 程序 。360 安 服 人 员 在 应 急 响应 过 程 中 也 发 现 了 几 起 利用 
WebLogic 反 序 列 化 漏洞 攻击 的 相关 事件 。 

该 漏洞 的 利用 方法 较为 简单 ,攻击 者 只 需要 发 送 精心 构造 的 HTTP 请 求 ,就 可 以 获 
得 目标 服务 器 的 权限 ,潜在 危害 巨大 。 在 2018 年 可 能 会 出 现 利用 WebLogic 漏洞 攻击 的 
事件 数量 大 幅 增长 .大量 新 主机 被 攻陷 的 情况 。 

这 种 攻击 在 实际 工作 中 遇 到 得 较 少 ,但 鉴于 新 的 反 序 列 化 攻击 的 出 现 及 近期 虚拟 货 
币 疯 涨 的 利益 驱动 力 , 预 计 未 来 攻击 规模 可 能 呈 上 升 趋势 ,需要 引起 高 度 重视 。 


1. 简 述 Web 系统 的 安全 现状 。 
2. 根据 Web 网 站 的 性 质 和 系统 架构 ,通常 将 Web 网 站 分 为 静态 网 站 和 动态 网 站 两 
种 。 请 描述 静态 网 站 和 动态 网 站 的 相同 点 和 不 同 点 。 
. 简 述 ASP、JSP、PHP 常见 的 服务 器 端 脚本 程序 概念 。 
.Web 应 用 系统 安全 漏洞 大 致 包含 哪 几 类 ? 
. OWASP 在 2017 年 公布 的 十 大 安全 漏洞 是 什么 ? 
. 常见 的 Web 系统 安全 技术 有 哪些 ? 
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因 传 统 的 网 络 安全 设备 无 法 有 效 地 防御 基于 Web 网 站 的 各 种 攻击 ,因此 需要 Web 
应 用 防火 墙 来 保障 Web 系统 的 安全 , Web 应 用 防火 墙 (Web Application Firewall, WAF) 
用 于 解决 诸如 防火 墙 等 传统 网 络 安全 设备 无 法 解决 的 Web 应 用 安全 问题 。 本 章 介绍 
Web 应 用 防火 墙 的 基础 知识 ,学 习 者 通过 本 章 应 理解 WAF 的 概念 .WAF 功能 及 特点 、 
WAF 产品 性 能 指标 .WAF 部 署 模式 以 及 WAF 的 防护 原理 。 


罗 WAF 简介 





近年 来 , 随 着 Web 应 用 的 快速 发 展 ,针对 Web 的 各 种 攻击 也 越 来 越 多 ,企业 对 于 保 
障 Web 安全 的 投入 将 持续 增加 。 

WAF 通过 执行 一 系列 针对 HTTP/HTTPS 的 安全 策略 来 专门 为 Web 应 用 提供 
防护 。 

WAF 对 来 自 Web 应 用 程序 客户 端的 各 类 请 求 进行 内 容 检测 和 验证 ,确保 其 安全 性 
与 合法 性 ,对 非法 的 请 求 予以 实时 阻 断 ,从 而 对 各 类 网 站 进行 有 效 防护 ,如 图 2-1 所 示 。 


画 ] ] 国 是 


Web 网 站 








图 2-1 WAF 对 网 站 进行 防护 


WAF 主要 的 防护 对 象 为 Web 网 站 ,主要 是 针对 Web 网 站 特有 的 攻击 方式 加 强 防 
护 , 如 针对 Web 服务 器 网 站 的 DDoS 攻击 、SQL 注入 攻击 、 跨 站 脚本 攻击 和 网 页 挂 马 攻 
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WAF 能 够 保护 各 网 站 Web 服务 器 免 受 应 用 级 入 侵 , 它 弥补 了 防火 墙 \IPS 类 安全 设 
备 对 Web 应 用 攻击 防护 能 力 不 足 的 问题 。 本 节 主 要 介绍 WAF 产品 的 功能 、 特 点 及 性 能 
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指标 。 
2.2.1 WAF 的 功能 


WAF 产品 通常 具有 以 下 5 个 方面 的 功能 : 

(1) Web 非 授权 访问 的 防御 功能 。 非 授权 访问 攻击 会 在 客户 端 毫 不 知情 的 情况 下 窃 
取 客 户 端 或 者 网 站 上 含有 敏感 信息 的 文件 ,如 Cookie 文件 ,通过 盗用 这 些 文件 ,对 一 些 网 
站 进行 未 授权 的 操作 ,如 转账 等 。 另 外 , WAF 产品 必须 具备 针对 跨 站 请 求 伪造 (Cross- 
Site Request Forgery,CSRF) 攻 击 的 防护 功能 。 

(2) Web 攻击 的 防御 功能 。Web 攻击 主要 包括 SQL 注入 攻击 和 XSS 跨 站 攻击 。 
SQL 注入 攻击 利用 Web 应 用 程序 不 对 输入 数据 进行 检查 过 滤 的 缺陷 ,将 恶意 的 SQL 语 
名 注入 到 后 台数 据 库 ,从 而 窃取 或 算 改 数据 ,控制 服务 器 。XSS 攻击 指 恶 意 攻击 者 向 
Web 页 面 中 插入 恶意 代码 , 当 受 害 者 浏览 该 Web 页 面 时 ,嵌入 其 中 的 代码 会 被 受害 者 的 
Web 客户 端 执行 ,达到 恶意 攻击 的 目的 。WAF 产品 除了 要 能 防御 以 上 两 类 攻击 以 外 ,还 
应 该 具备 对 应 用 层 DoS 攻击 的 防护 能 力 。 

(3) Web 恶意 代码 的 防御 功能 。 攻 击 者 在 成 功 入侵 网 站 后 ,常常 将 木马 后 门 文件 放 
置 在 Web 服务 器 的 站 点 目录 中 ,与 正常 的 页 面 文件 混在 一 起 ,这 就 要 求 WAF 产品 能 准 
确 识别 和 防御 Web 恶意 代码 。 另 外 ,还 有 对 网 页 挂 马 的 防护 ,一 般 这 类 攻击 的 主要 目的 
是 让 用 户 将 木马 下 载 到 本 地 ,并 进一步 执行 ,从 而 使 用 户 计算 机 遭 到 攻击 和 控制 ,最 终 目 
的 是 盗 取 用 户 的 敏感 信息 ,如 各 类 账号 ,密码 ,因此 防御 恶意 代码 也 是 WAF 产品 需要 具 
备 的 基础 功能 。 

(4) Web 应 用 交付 能 力 。 应 用 交付 是 指 应 用 交付 网 络 (Application Delivery 
Networking, ADN), 它 借助 WAF 产品 对 网 络 进 行 优化 ,确保 用 户 的 业务 应 用 能 够 快速 、 
安全 ,可 靠 地 交付 给 内 部 员工 和 外 部 服务 群 。 通 常情 况 下 ,多 服务 器 负载 均衡 是 WAF 产 
品 常见 的 应 用 交付 形态 。 

(5) Web 应 用 合 规 功能 。 应 用 合 规 是 指 客户 端 或 者 Web 服务 器 所 做 的 各 类 行为 符 
合用 户 设置 的 规定 要 求 , 例 如 ,基于 URL 的 应 用 层 访问 控制 和 HTTP 请 求 的 合 规 性 检查 
都 属于 Web 应 用 合 规 所 强调 的 功能 。 在 国内 相关 部 门 的 合 规 规章 制度 要 求 下 ,以 及 企业 
或 政府 机 构 遵从 的 公安 部 等 级 保护 的 要 求 下 ,WAE 产品 的 应 用 合 规 已 经 成 为 客户 十 分 
重视 的 基础 功能 。 


2.2.2 WAF 的 特点 


WAF 通常 包括 以 下 特性 : 

(1) URL 过 滤 和 分 类 。 通 过 对 网 络 实时 的 分 析 ,确定 合法 URL 并 记 入 URL 数据 库 
中 ,同时 按 新 闻 ,游戏 .电子 邮件 等 类 别 进 行 划分 。 管 理 者 可 以 基于 访问 类 别 等 信息 对 网 
络 流量 进行 访问 控制 。 

(2) 出 入 网 站 流量 的 检测 。 例 如 对 恶意 软件 .是 否 来 源 于 僵尸 网 络 的 流量 .数据 丢失 
保护 (Data Leakage Prevention,DLP)、HTTP 请 求 报 头 的 检测 。 通 过 对 出 和 网 站 的 流量 
进行 检测 ,防护 各 类 SQL 注入 、 跨 站 、 挂 马 、 扫 描 器 扫描 、 敏 感 信 息 泄露 资 链 等 攻击 行为 。 
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(3) Web 应 用 程序 的 命令 级 限制 。 针 对 网 络 流 量 进行 应 用 解析 并 识别 命令 级 指令 ， 
管理 者 可 以 通过 预 置 策略 对 敏感 的 命令 级 指令 进行 阻止 及 报警 等 操作 。 

(4) 智能 学 习 。 采 用 建 模 技 术 , 通 过 对 访问 流量 的 自动 学 习 和 概率 统计 算法 分 析 , 对 
网 站 的 正常 访问 行为 规律 进行 分 析 和 总 结 ,自动 生成 一 套 符合 用 户 网 站 特性 的 访问 行为 
基线 ,偏离 基线 的 访问 行为 将 被 阻 断 或 报警 。 

(5) 可 视 化 与 集中 管理 。 通 过 分 布 式 集中 管理 ,提供 清晰 的 企业 内 部 Web 应 用 流量 
展现 ,结合 URL , 域 信息 等 因素 ,综合 展现 企业 IT 系统 中 Web 流量 的 具体 内 容 , 成 为 网 
络 中 的 “监控 摄像 头 ”, 一 旦 Web 流量 中 存在 的 攻击 被 发 现 ,管理 者 可 以 快速 发 现 人 侵 
行为 。 

(6) 网 页 防 算 改 。 基 于 文件 夹 驱动 级 文件 驱动 级 保护 技术 保证 网 页 的 真实 性 ,同时 
杜绝 自 改 后 的 网 页 被 访问 的 可 能 性 。 

(7) 威胁 情报 协同 。 与 国内 外 主流 威胁 情报 数据 源 进行 对 接 ,及 时 更 新 威胁 情报 库 。 
基于 黑 IP、 黑 链 \ 伟 尸 网 络 等 进行 动态 防御 ,同时 能 够 更 加 精准 地 对 攻击 行为 进行 溯源 。 

通过 WAF 产品 上 述 特 性 ,用 户 的 Web 应 用 系统 能 够 在 复杂 的 Web 攻击 中 得 到 更 
有 效 的 保护 。 另 外 ,安全 厂商 也 积极 地 在 WAF 中 增添 先进 的 防御 技术 ,如 内 骨 沙 箱 技术 
以 分 析 可 疑 文件 网络 流 量 检测 ,安全 分 析 平 台 , 同 时 加 强 本 地 化 的 应 急 响 应 服务 支持 ,并 
将 主动 防御 技术 嵌入 到 WAF 产品 中 ,等 等 。 


2.2.3 WAF 产品 性 能 指标 


性 能 是 产品 设备 选 型 必须 考虑 的 因素 ,不 同 的 WAF 产品 有 不 同 的 性 能 。 但 是 目前 
通用 的 性 能 指标 和 评估 方法 都 是 基于 网 络 层 的 ,不 适合 应 用 层 的 特点 。 由 于 缺乏 相应 标 
准 , 业 内 仍 普 遍 以 网 络 层 性 能 参数 来 衡量 应 用 层 性 能 ,这 既 不 利于 用 户 选 型 使 用 ,也 不 利 
于 产品 规划 发 展 。 

应 用 层 网 络 设备 和 传统 网 络 设备 相 比 ,几乎 所 有 的 特性 都 聚焦 于 应 用 层 协议 。 其 不 
再 简单 地 关注 数据 报 文 的 转发 ,而 是 关注 和 应 用 协议 相关 的 内 容 , 如 协议 识别 .应 用 特征 
识别 ,应 用 威胁 识别 等 ,并 基于 此 开发 功能 特性 。 应 用 层 网 络 设备 最 基本 的 要 求 就 是 : 必 
须 把 数据 包 解 封 到 第 七 层 , 即 应 用 层 。 而 网 络 层 设 备 则 是 以 数据 包 转 发 为 主要 目的 ,只 关 
心 数据 包 转 发 能 力 ,只 需要 解 封 到 第 三 层 , 找 到 对 应 的 IP 地 址 和 端口 信息 即 可 。 

数据 包 封装 和 解 封 层次 越 多 ,CPU 的 计算 负载 就 越 高 ,会 直接 体现 为 性 能 的 衰减 。 
具有 同样 处 理 能 力 的 CPU ,处 理 网 络 层 数据 转发 和 应 用 层 识别 所 呈现 的 性 能 参数 是 完全 
不 同 的 ,不 能 放 在 一 起 横向 比较 ,不 能 使 用 传统 网 络 层 性 能 指标 来 评价 应 用 层 设 备 的 
人 性能。 

因此 ,对 于 应 用 层 的 设备 ,要 将 应 用 层 性 能 指标 和 网 络 层 性 能 指标 相 结合 ,可 以 总 结 
为 网 络 层 知 吐 量 、 应 用 层 知 吐 量 、 网 络 层 并 发 连接 数 .HTTP 并 发 连接 数 、 新 建 连接 速率 5 
个 性 能 指标 。 


1. 吞吐 量 
吞吐 量 是 衡量 WAF 设备 最 重要 的 指标 , 它 是 指 设备 在 一 秒 内 处 理 数据 包 的 最 大 能 
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力 。 具 体 来 说 ,设备 吞吐 量 是 指 设备 在 一 秒 内 处 理 的 最 大 流量 或 者 说 一 秒 内 处 理 的 数据 
包 个 数 。 设 备 吞 吐 量 越 高 ,所 能 提供 给 用 户 使 用 的 带宽 越 大 。 

吞吐 量 的 计量 有 两 种 方式 : 常见 的 是 带宽 计量 ,单位 是 Mb/s(Megabit per second) 
或 者 Gb/s(Gigabit per second); 另 一 种 是 数据 包 处 理 量 计 量 , 单 位 是 pps(packets per 
second) 。 两 种 计量 方式 是 可 以 相互 换算 的 。 在 对 一 个 设备 进行 吞吐 性 能 测试 时 ,通常 会 
记录 一 组 64 一 1518B 的 测试 数据 ,每 一 个 测试 结果 均 有 相应 的 pps 数 。64B 的 pps 数 最 
大 ,基本 上 可 以 反映 出 设备 处 理 数据 包 的 最 大 能 力 。 

应 用 层 吞 吐 量 , 即 最 大 HTTP 吞吐 量 , 是 给 应 用 引擎 施加 最 大 的 压力 时 获得 的 最 大 
工作 能 力 。 测 试 时 需 提供 尽量 接近 真实 世界 的 流量 模型 ,以 保证 测试 准确 性 和 可 重复 性 。 


2. 并 发 连接 数 

并 发 连接 数 是 衡量 WAF 设备 性 能 的 一 个 重要 指标 。 这 里 分 为 网 络 层 并 发 连接 数 和 
HTTP 并 发 连接 数 。 用 户 需 要 打开 多 个 窗口 或 Web 页 面 ( 即 会 话 ) 上 网 ,WAF 设备 所 能 
处 理 的 会 话 数量 就 是 并 发 连接 数 。 并 发 连接 数 反 映 WAF 设备 对 其 业务 信息 流 的 处 理 能 
力 , 是 WAF 设备 能 够 同时 处 理 的 点 对 点 连接 的 最 大 数目 , 它 反映 出 WAF 设备 对 多 个 连 
接 的 访问 控制 能 力 和 连接 状态 跟踪 能 力 , 这 个 参数 的 大 小 直接 影响 到 WAF 所 能 支持 的 
最 大 信息 点 数 。 

像 路 由 器 的 路 由 表 存 放 路 由 信息 一 样 , WAF 设备 里 有 一 个 并 发 连接 表 , 是 WAF 设 
备用 以 存放 并 发 连接 信息 的 地 方 , 它 可 在 WAF 系统 启动 后 动态 分 配 进程 的 内 存 空间 ,其 
大 小 也 就 是 WAF 设备 所 能 支持 的 并 发 连接 数 。 大 的 并 发 连接 表 可 以 增 大 WAF 设备 的 
并 发 连接 数 ,允许 WAF 设备 支持 更 多 的 客户 终端 ,但 是 与 此 同时 ,过 大 的 并 发 连接 表 也 
会 带 来 一 定 的 负面 影响 ,会 增加 对 系统 内 存 资源 的 消耗 。 并 发 连接 数 要 考虑 CPU 的 处 
理 能 力 来 设 定 。 


3. 新 建 连接 速率 

新 建 连接 速率 指 的 是 在 一 秒 内 防火 墙 能 够 处 理 的 新 建 连接 请 求 的 数量 。 用 户 打 开 一 
个 网 页 ,访问 一 个 服务 器 ,在 WAF 设备 看 来 是 一 个 甚至 多 个 新 建 连接 。 而 一 台 设备 的 新 
建 连接 速率 高 ,就 可 以 同时 给 更 多 的 用 户 提供 网 络 访问 。 例 如 ,设备 的 新 建 连接 速率 是 1 
万 ,那么 如 果 有 1 万 人 同时 上 网 ,所 有 的 请 求 都 可 以 在 一 秒 以 内 完成 ,如 果 有 1.1 万 人 上 
网 ,那么 前 1 万 人 可 以 在 第 一 秒 内 完成 ,后 1 千 人 的 连接 请 求 需要 在 下 一 秒 才能 完成 。 所 
以 ,新 建 连接 速率 高 的 设备 可 以 让 更 多 人 同时 上 网 ,提升 用 户 的 网 络 体验 。 

新 建 连 接 速 率 通 常 采 用 HTTP 来 进行 测试 ,测试 结果 以 CPS (Connections Per 
Second) 作 为 单位 。 测 试 仪 通 过 持续 地 模拟 每 秒 大 量 用 户 连接 去 访问 服务 器 以 测试 
WAF 设备 的 最 大 新 建 连接 速率 。 新 建 连接 速率 与 并 发 连接 数 不 同 ,前 者 用 于 衡量 设备 
的 连接 速率 ,而 后 者 用 于 衡量 设备 的 连接 容量 。 新 建 连接 速率 的 测试 会 立刻 拆除 建立 的 
连接 ;而 并 发 连接 数 测试 则 不 会 拆除 连接 ,所 有 已 经 建立 的 连接 会 一 直 保持 ,直到 达到 设 
备 的 极限 。 
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_2.3 WAF 部 署 


网 站 安全 一 体 化 整体 架构 设计 分 为 事前 、 事 中 、 事 后 3 个 阶段 。 事 前 阶段 进行 源码 级 
的 安全 检测 ,同时 采用 漏洞 扫描 工具 、 配 置 核查 工具 以 及 组 织 社会 白 帽 子 资源 发 现 政府 网 
站 安全 隐患 ,进行 预警 防 控 。 事 中 阶段 持续 监测 网 站 可 用 、 算 改 、 敏 感 词 . 钓 鱼 /仿冒 等 安 
全 指标 ,发 现 问题 及 时 通报 处 理 , 采 用 能 够 抵御 利用 漏洞 攻击 和 大 流量 DDoS 攻击 公有 云 
十 私有 云 的 防护 模式 进行 安全 防护 。 事 后 阶段 可 提供 网 站 和 运营、 安全 服务 生命 周期 的 全 
覆盖 支持 ,并 可 通过 可 视 化 界面 为 客户 提供 网 站 安全 风险 统一 管理 平台 或 态势 感知 平台 ， 
直观 展现 网 站 安全 状况 ,为 客户 下 一 步 动作 提供 决策 能 力 。 网 站 安全 一 体 化 整体 架构 如 
图 2-2 所 示 。 
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图 2-2 网 站 安全 一 体 化 整体 架构 


WAF 工作 在 安全 防护 系统 中 的 本 地 防护 部 分 中 ,对 来 自 Web 应 用 程序 客户 端的 各 
类 请 求 进行 内 容 检测 和 验证 ,确保 其 安全 性 与 合法 性 ,对 非法 的 请 求 予 以 实时 阻 断 , 从 而 
对 各 类 网 站 进行 有 效 防护 。 

通常 情况 下 ,WAF 应 部 署 在 企业 对 外 提供 网 站 服务 的 DMZ 或 者 数据 中 心服 务 区 
域 ,也 可 以 与 防火 墙 或 IPS 等 网 关 设 备 串联 。 总 之 ,WAF 部 署 位 置 是 由 Web 服务 器 的 位 
置 决定 的 ,因为 Web 服务 器 是 WAF 所 保护 的 对 象 , 部 署 时 要 使 WAF 尽量 靠近 Web 服 
务 器 ,如 图 2-3 所 示 。 


2.3.1 串联 防护 部 署 模式 


串联 防护 部 署 模 式 十 分 简单 , 它 不 改变 客户 网 络 拓扑 结构 ,能够 达到 ”* 即 插 即 用 ”\ 透 
明 部 署 的 效果 。 串 联防 护 部 署 就 是 在 网 络 中 将 一 台 WAF 的 硬件 设备 串联 部 署 在 Web 
服务 器 前 端 ,能 够 保障 网 站 合 规 流量 的 正常 传输 并 阻 断 攻击 流量 ,保障 业务 系统 的 运行 连 
续 性 和 完整 性 。 串 联防 护 部 署 模式 的 典型 拓扑 如 图 2-4 所 示 。 

串联 防护 部 署 模式 可 以 分 为 3 种 ,分 别 为 透明 代理 模式 、 反 向 代理 模式 以 及 路 由 代理 
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2-3 WAF 部 署 


服务 器 
图 2-4 串联 防护 部 署 模式 的 典型 拓扑 


模式 。 


1. 透明 代理 模式 
透明 代理 模式 (也 称 网 桥 代 理 模 式 ) 的 工作 原理 是 : 当 Web 客户 端 对 服务 器 有 连接 
请 求 时 ,TCP 连接 请 求 将 被 WAF 截取 和 监控 。WAEF 代理 Web 客户 端 和 服务 器 之 间 的 
会 话 ,将 会 话 分 成 两 段 ,并 基于 网 桥 模式 进行 转发 。 从 Web 客户 端的 角度 看 , Web 客户 
端 仍然 是 直接 访问 服务 器 ,感知 不 到 WAF 的 存在 ;WAF 转发 的 工作 原理 和 透明 网 桥 一 
斌 
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致 ,因而 被 为 透明 代理 模式 。 

此 种 部 署 模式 对 网 络 的 改动 最 小 ,可 以 实现 零 配 置 部 署 。 另外 ,通过 WAF 的 硬件 旁 
路 (bypass) 功 能 ,在 设备 出 现 故障 或 者 掉 电 时 可 以 不 影响 原 有 网 络 流量 ,只 是 WAF 自身 
功能 失效 。 但 是 由 于 网 络 的 所 有 流量 (HTTP 和 非 HTTP) 都 经 过 WAF, 这 对 WAF 的 
处 理性 能 有 一 定 要 求 , 采 用 该 工作 模式 无 法 实现 服务 器 负载 均衡 功能 。 


2. 路 由 代理 模式 

路 由 代理 模式 与 透明 代理 模式 的 唯一 区 别 就 是 该 代理 工作 在 路 由 转发 模式 而 非 网 桥 
模式 ,其 他 工作 原理 都 一 样 。 由 于 工作 在 路 由 (网 关 ) 模 式 ,因此 需要 为 WAF 的 转发 接口 
配置 IP 地 址 以 及 路 由 。 

路 由 代理 模式 需要 对 网 络 配置 进行 简单 改动 ,要 设置 该 设备 内 网 口 和 外 网 口 的 卫 地 
址 以 及 对 应 的 路 由 。WAF 工作 在 路 由 代理 模式 时 ,可 以 直接 作为 Web 服务 器 的 网 关 , 但 
是 此 种 模式 存在 单 点 故障 问题 ,同时 WAF 要 负责 转发 所 有 的 流量 。 该 种 工作 模式 也 不 
支持 服务 器 负载 均衡 功能 。 


3. 反 向 代理 模式 

反 向 代理 模式 是 指 将 真实 服务 器 的 地 址 映射 到 反 向 代理 服务 器 上 。 此 时 代理 服务 
器 对 外 就 表现 为 一 个 真实 服务 器 。 由 于 客户 端 访问 的 就 是 WAF, 此 时 WAF 无 须 像 其 
他 模式 (如 透明 和 路 由 代理 模式 ) 一 样 采用 特殊 处 理 去 劫持 客户 端 与 服务 器 的 会 话 。 
当代 理 服务 器 收 到 HTTP 的 请 求 报 文 后 ,将 该 请 求 转发 给 对 应 的 真实 服务 器 。 后 台 服 
务 器 接收 到 请 求 后 ,将 响应 先 发 送 给 WAF 设备 ,由 WAF 设备 再 将 应 答 发 送 给 客户 端 。 
整个 过 程 和 透明 代理 模式 的 工作 原理 类 似 , 唯 一 区 别 就 是 透明 代理 客户 端 发 出 请 求 的 
目的 地 址 直接 是 后 台 服 务 器 ,所 以 透明 代理 工作 方式 不 需要 在 WAF 上 配置 IP 映射 
关系 。 

反 向 代理 模式 需要 对 网 络 配置 进行 改动 ,配置 相对 复杂 ,除了 要 配置 WAF 设备 自身 
的 地 址 和 路 由 外 ,还 需要 在 WAF 上 配置 后 台 服 务 器 的 真实 Web 地 址 和 虚拟 地 址 的 映射 
关系 。 另 外 ,如 果 原 来 的 服务 器 地 址 就 是 全 局 地 址 ( 没 经 过 NAT 转换 ) ,那么 通常 还 需要 
改变 原 有 服务 器 的 IP 地 址 ,并 改变 原 有 服务 器 的 DNS 解析 地 址 。 采 用 该 模式 的 优点 是 
可 以 在 WAF 上 同时 实现 负载 均衡 。 


2.3.2 旁 路 防护 部 署 模式 


大 多 数 Web 应 用 防火 墙 实际 上 透明 串 接 部 署 在 网 络 中 ,但 是 此 种 部 署 模式 延 时 性 较 
大 ,不 适用 于 金融 和 教育 等 对 网 络 可 用 性 要 求 较 高 的 领域 ,因此 需要 采用 旁 路 部 署 模式 。 
旁 路 防护 部 署 模式 典型 拓扑 如 图 2-5 所 示 。 

当 Web 应 用 防火 墙 旁 路 部 署 在 网 络 中 时 ,会 将 所 有 流量 镜像 到 Web 应 用 防火 墙 进 
行 分 析 。 当 分 析 发 现 有 Web 攻击 时 , Web 应 用 防火 墙 会 和 核心 交换 机 和 网 站 服务 器 进 
行 联动 ,以 广播 的 形式 通报 这 一 流量 是 攻击 行为 ,需要 阻拦 ,这 样 就 起 到 了 旁 路 阻 断 的 效 
果 。 此 种 部 署 模式 延 时 性 小 ,注重 实时 性 。 
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2-5 ” 旁 路 防护 部 署 模式 典型 拓扑 


2.4 ”WAF 防护 原理 





2.4.1 Web 应 用 安全 监测 


WAF 通常 以 硬件 或 基于 云 服 务 器 的 形式 提供 给 用 户 ,用户 可 将 WAF 透明 部 署 在 客 
户 网 站 服务 器 的 前 端 来 抵御 Web 渗透 攻击 。 但 是 仅仅 凭借 WAF 对 企业 网 站 应 用 进行 
保护 是 远 远 不 够 的 ,WAF 策略 的 配置 时 效 性 不 足以 应 对 当前 诸多 未 知 的 威胁 和 0day 攻 
击 。 近 年 来 , 随 着 云 计算 、 大 数据 技术 逐渐 应 用 到 安全 领域 ,基于 软件 即 服务 (Software- 
as-a-Service, SaaS) 模 式 的 Web 应 用 安全 监测 十 分 具有 市 场 潜力 ,尤其 是 监管 部 门 和 政府 
相关 单位 对 这 种 需求 十 分 旺盛 。 

SaaS 是 随 着 互联 网 技术 的 发 展 和 应 用 软件 的 成 熟 ,在 21 世纪 兴起 的 一 种 完全 创新 的 
软件 应 用 模式 ,客户 按 使 用 时 间或 使 用 量 付费 。 这 些 应 用 软件 通常 是 在 企业 管理 软件 领域 ， 
并 通过 互联 网 来 使 用 。 通 常情 况 下 的 SaaS 软件 主要 应 用 于 客户 关系 管理 (Customer 
Relationship Management,CRM) 、 人 力 资源 管理 (Human Resource Management, HRM) ,供应 
链 管理 (Supply Chain Management, SCMD) 以 及 企业 资源 计划 (Enterprise Resource Planning， 
ERP) 等 企业 管理 软件 。 

大 型 企业 的 公司 组 织 结构 通常 是 分 布 式 的 ,实时 监测 并 快速 发 现 包 含 总 部 、 分 支 机 构 
的 Web 应 用 安全 风险 是 非常 重要 的 。 基 于 SaaS 模式 的 Web 应 用 安全 监测 服务 能 够 快 
速 发 现 网 站 被 植 人 恶意 代码 、 网 页 被 算 改 、 网 络 钓鱼 等 攻击 行为 。 通 过 基于 SaaS 模式 的 
Web 应 用 安全 监测 ,企业 用 户 能 够 快速 发 现 这 些 问题 ,大 大 提升 Web 应 用 安全 管理 
能 力 。 

基于 SaaS 提供 的 网 站 应 用 监测 一 方面 能 够 实时 发 现 基于 0day 漏洞 的 攻击 , 另 一 方 
面 可 以 使 威胁 情报 服务 实时 应 用 到 Web 应 用 的 保障 中 ,SaaS 网 站 应 用 监测 服务 将 是 未 
来 Web 安全 厂商 发 展 的 一 个 方向 。 

基于 SaaS 模式 的 Web 应 用 安全 监测 分 为 两 种 模式 : 一 种 是 企业 自 建 平台 ,由 Web 
应 用 安全 产品 或 解决 方案 提供 商 提供 驻 场 或 应 急 响 应 服务 ; 另 一 种 是 直接 购买 Web 应 用 
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安全 产品 或 解决 方案 提供 商 , 即 管理 安全 服务 提供 商 (Managed Security Service 
Provider，MSSP) ,提供 基于 SaaS 模式 的 Web 应 用 安全 检测 服务 。 国 内 大 型 企业 级 用 
户 , 如 政府 、 金 融 . 运 营 商 等 行业 ,对 自身 安全 战略 重视 程度 较 高 ,通常 选择 在 其 内 部 IT 
系统 中 自 建 Web 应 用 安全 检测 平台 ,实时 发 现 Web 应 用 中 存在 的 入 侵 行 为 。 而 中 小 企 
业 由 于 偏重 于 局 部 IT 安全 治理 的 原因 ,通常 会 选择 托管 服务 模式 ,由 MSSP 提供 在 线 的 
Web 应 用 安全 检测 服务 。 

目前 的 WAF 产品 ,如 360 Web 应 用 云 防护 系统 ,为 用 户 网 站 提供 了 SaaS 化 云端 网 
站 安全 防护 服务 ,在 云端 建立 了 一 道 网 站 的 防护 屏障 ,实现 Web 防护 与 CC 防护 ,基于 云 
平台 提供 了 “互联 网 十 ”的 网 站 防护 。 


2.4.2 双重 边界 


针对 网 站 的 安全 问题 ,传统 的 网 站 安全 解决 方案 有 明显 不 足 ,传统 方案 的 主线 主要 分 
为 检测 、 防 御 和 监测 。 检 测 方面 使 用 盒 式 Web 漏洞 扫描 器 发 现 漏洞 ;防御 方面 使 用 WAF 
设备 和 抗 DDoS 设备 实现 大 流量 DDoS 攻击 防御 和 Web 入侵 防 御 ;监测 方面 使 用 网 站 监 
控 平 台 完 成 网 页 算 改 、 挂 马 的 监测 。 

然而 , 随 着 目前 网 站 的 部 署 向 云端 迁移 ,传统 盒 式 防护 设备 在 云 环境 下 无 法 部 署 , 盒 
式 抗 DDoS 设备 也 无 法 防御 超出 出 口 带宽 的 大 流量 DDoS 攻击 ,WAF 设备 会 存在 规则 库 
更 新 不 及 时 无 法 防护 最 新 漏洞 .配置 复杂 且 不 易 维护 等 问题 。 

为 解决 上 述 问题 ,人 们 提出 了 Web 应 用 防火 墙 的 双重 边界 这 一 概念 。 网 站 因 需 要 与 
外 界 长 期 进行 数据 交互 ,部 署 在 互联 网 之 中 ,服务 器 的 前 端 就 可 以 理解 为 网 站 的 边界 。 这 
里 将 边界 定义 为 两 道 : 第 一 道 为 逻辑 边界 ,在 互联 网 中 通过 DNS 将 流量 迁移 到 云 WAF 
进行 过 滤 ; 第 二 道 为 物理 边界 , 即 在 本 地 网 中 的 Web 应 用 防火 墙 。 

通常 Web 应 用 防火 墙 会 部 署 在 服务 器 前 端 , 所 有 攻击 行为 都 会 先 由 Web 应 用 防火 
墙 进行 过 滤 ,然后 再 到 网 站 服务 器 ,具体 结构 如 图 2-6 所 示 。 
逻辑 边界 | 物理 边界 
(互联 网 ) (本 地 网 络 ) 


DDoS 攻击 


跨 站 脚本 





信息 泄露 


I HD HD 


网 站 群 


Daa 


| 
| 
| 
| 
4 ， 
| 
| 
| 


| 
| 
| 
网 站 云 防护 三 Web 应 用 防火 墙 
| 
| 


图 2-6 双重 边界 防护 结构 


互联 网 中 大 量 的 信息 与 流量 的 过 滤 可 用 网 站 云 防护 来 解决 ,而 本 地 的 一 些小 流量 和 
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绕 过 攻击 的 过 滤 可 用 本 地 WAF 解决 。 两 道 边 界 同时 进行 过 滤 , 从 而 使 网 站 获得 双重 
保障 。 

逻辑 边界 中 网 站 云 防 护 系统 的 代表 产品 如 360 安 域 ,是 一 个 SaaS 化 的 云 防护 系统 ， 
主要 保护 网 站 免 受 Web 攻击 的 安全 威胁 。360 安 域 系统 由 几 千 台 服 务 器 组 成 ,包括 几 百 
台 云 WAF 服务 器 、 几 百 台 DDoS 流量 清洗 服务 器 、 几 百 台 缓存 服务 器 以 及 流量 调度 服务 
器 等 。360 安 域 系统 采用 反 向 代理 技术 为 网 站 提供 反 向 代理 替身 防护 ,有 效 地 隐藏 了 后 
端 网 站 。 

用 户 在 接 和 人 安 域 系统 之 后 ,后 端 服务 器 的 IP 地 址 会 被 隐藏 ,攻击 者 无 法 直接 看 
到 服务 器 的 IP 地 址 ,而 看 到 的 是 安 域 系统 的 IP 地 址 ,这 样 可 以 避免 攻击 者 直接 对 网 
站 进行 攻击 。 当 攻击 者 对 安 域 系统 进行 攻击 的 时 候 , 安 域 系 统 可 以 对 攻击 进行 有 效 
拦截 。 

安 域 系统 有 两 种 接 入 方式 : 一 种 是 CNAME(Canonical Name) 接 入 , 另 一 种 是 NS 
(Name Server) 接 入 。CNAME 记录 ( 即 别名 记录 ) 人 允许 将 多 个 名 字 映 射 到 同一 台 计 算 机 。 
在 CNAME 接 入 方式 中 ,用 户 只 需要 将 DNS 上 的 A(Address) 记 录 填 写 到 安 域 系 统 中 ,A 
记录 用 来 指定 主机 名 (或 域名 ) 对 应 的 IP 地 址 。 然 后 安 域 系 统 会 自动 生成 一 个 CNAME 
值 ,随后 用 户 需 删除 DNS 中 的 A 记录 ,然后 创建 一 条 CNAME 记录 ,并 将 CNAME 值 填 
入 , 即 完成 了 接 入 。 

在 NS 接 入 方式 中 ,用 户 只 需要 将 域名 的 DNS 解析 地 址 指向 安 域 系 统 所 提供 的 两 个 
DNS 地 址 ,一 个 是 主 , 一 个 是 从 ,然后 在 安 域 系统 中 创建 A 记录 , 即 完成 了 接 入 。 

完成 接 入 后 ,用 户 仍 然 先 访问 自己 的 DNS, 权 威 服务 器 的 根 域名 会 指向 一 个 
CNAME 值 ,这 个 CNAME 值 在 安 域 系统 中 ,对 应 域名 的 A 记录 , 即 域名 和 IP 地 址 的 对 
应 关系 , 即 完 成 了 域名 解析 ,完成 了 流量 的 迁移 。 如 果 有 攻击 发 生 , 安 域 系统 会 对 攻击 进 
行 有 效 拦截 和 清洗 ,之 后 就 将 正常 流量 返回 给 用 户 的 内 部 网 络 。 安 域 系 统 形态 及 部 署 如 
图 2-7 所 示 。 





A | 2 
4 | 未 乡 














图 2-7 安 域 系统 形态 及 部 署 
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2.4.3 纵深 防御 体系 


由 于 攻击 是 从 外 部 到 内 部 的 ,首先 要 经 过 互联 网 ,在 互联 网 上 建立 云 防护 平台 ,通过 
DNS 引流 的 方式 把 所 有 流量 迁移 到 云 防护 平台 进行 清洗 ,过滤 , 主 要 拦截 大 部 分 CC 
(Challenge Collapsar) 攻 击 和 Web 攻击 行为 。 攻 击 者 借助 代理 服务 器 生成 指向 受害 主机 
的 合法 请 求 ,实现 DDoS 和 伪装 ,就 是 CC 攻击 。 

攻击 者 可 能 通过 某 些 技术 手段 绕 过 第 一 道 防护 ,因此 出 现 了 第 二 道 防护 ,在 本 地 网 络 
还 会 部 署 一 个 本 地 Web 应 用 防火 墙 , 将 对 成 功 绕 过 第 一 道 防护 的 部 分 攻击 行为 ,如 SQL 
注入 、 跨 站 攻击 、 木 马上 传 等 ,进行 拦截 。 

如 果 攻 击 者 植 人 了 一 个 后 门 ,成 功 绕 过 互联 网 ,本 地 两 道 防护 ,要 算 改 或 删除 核心 数 
据 , 这 时 第 三 道 防护 , 即 在 Web 服务 器 上 安装 网 页 防 算 改 软件 就 起 到 了 作用 。 当 该 软件 
发 现 文件 被 自 改 ,或 网 站 内 容 发 生 改变 ,就 会 第 一 时 间 对 网 站 进行 还 原 。 

网 页 防 算 改 软件 是 Web 应 用 防火 墙 产品 中 的 一 个 主要 功能 模块 。 基 于 不 同 的 网 站 ， 
有 3 种 不 同 的 防护 模式 ,分 别 为 内 核 控制 .本 地 备份 和 异地 备份 ,如 图 2-8 所 示 。 内 核 控 
制 实际 上 是 对 网 站 文件 进行 权限 划分 .黑白 名 单 限 制 ,明确 哪些 人 可 以 访问 ,哪些 程序 可 
以 添加 ,哪些 文件 不 可 以 删除 ;本 地 备份 是 在 一 台 服 务 器 上 建立 A、B 两 个 文件 夹 。A 文 
件 夹 用 于 对 外 进行 访问 ,B 文件 夹 用 于 运 维 人 员 对 内 进行 更 新 ,A、B 两 个 文件 夹 的 数据 
通过 网 页 防 算 改 客户 端 同步 ;异地 备份 主要 是 针对 信息 安全 等 级 保护 三 级 的 数据 异地 灾 
备 , 有 A 和 B 两 台 服 务 器 ,A 在 发 布 区 ,B 在 内 网 的 隔离 区 里 , 运 维 人 员 在 B 服务 器 上 进 
行 维护 更 新 ,然后 将 数据 通过 网 页 防 算 改 客户 端 推 送 到 A 服务 器 ,A 服务 器 对 外 提供 访 
问 服务 。 


内 核 控制 内 核 控制 


本 地 备份 


Windows Linux 本 地 备份 


异地 备份 Ss 
异地 备份 





2-8 ”网 页 防 自 改 的 3 种 模式 


同时 ,在 应 用 层 , 也 就 是 应 用 程序 访问 数据 库 的 时 候 , 会 采用 实时 应 用 程序 自我 保护 
(Runtime Application Self-Protection,RASP) ,保护 应 用 程序 不 被 入 侵 。RASP 是 一 种 
新 型 应 用 安全 保护 技术 , 它 能 实时 检测 和 阻 断 安全 攻击 ,使 应 用 程序 具备 自我 保护 能 力 ， 
当 应 用 程序 遇 到 特定 漏洞 和 攻击 时 ,不 需要 人 工 干 预 就 可 以 自动 重新 配置 以 应 对 新 的 攻 
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击 , 使 程序 能 够 自我 监控 和 识别 有 害 的 输入 和 行为 。 

实时 是 RASP 非常 重要 的 特点 ,因为 拥有 应 用 程序 的 上 下 文 , 它 不 仅 可 以 分 析 应 用 
程序 的 行为 ,也 可 以 结合 上 下 文 对 行为 进行 分 析 , 而 且 能 持续 不 断 地 进行 分 析 , 一 旦 发 现 
有 攻击 行为 ,能 立刻 进行 响应 和 处 理 。 

以 上 即 为 从 外 到 内 的 纵深 防御 体系 ,从 云端 ,本 地 网 关 、 服 务 器 软件 贯穿 成 一 条 网 络 
直线 通 向 互联 网 ,实现 网 站 安全 的 纵深 防御 理念 : 首先 是 基于 云端 平台 的 防护 与 威胁 情 
报 ,其 次 是 本 地 Web 应 用 防火 墙 的 网 站 保护 ,最 后 是 网 页 防 纂 改 软件 的 文件 保护 。 最 终 
实现 了 集 互联 网 .局域网 ,操作 系统 于 一 体 的 纵深 防御 体系 。 


.为 什么 要 引入 Web 应 用 防火 墙 ? 

. 简 述 Web 应 用 防火 墙 的 定义 。 

WAF 产品 常见 的 五 大 功能 是 什么 ? 

. WAF 产品 的 基本 特点 有 哪些 ? 

. 简 述 吞吐 量 .并 发 连接 数 .新 建 连接 速率 3 个 性 能 指标 的 概念 。 
. 简 述 引入 双重 边界 的 原因 。 

. 简 述 双重 边界 防护 原理 。 


站 中 L rr- 
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第 3 章 
”HTTP 校 验 和 访问 控制 


超 文本 传输 协议 (HTTP) 是 应 用 最 广泛 的 网 络 协议 之 一 。 本 章 介 绍 HTTP 的 基本 
原理 ,然后 结合 HTTP 的 基本 知识 讲述 HTTP 校 验 和 访问 控制 的 原理 。 


S| HTTP 





3.1.1 HTTP 简介 


HTTP 是 一 种 基于 请 求 与 响应 模式 交互 数据 的 无 状态 协议 。 无 状态 是 指 协 议 对 于 
事务 处 理 没有 记忆 人 能力, 连接 关闭 后 服务 器 端 不 保留 连接 的 有 关 信 息 。HTTP 是 应 用 层 
协议 , 它 是 万 维 网 (World Wide Web, WWW) 上 能 够 可 靠 地 交换 文件 的 重要 基础 。 万 维 
网 访问 网 点 的 具体 工作 过 程 如 图 3-1 所 示 。 








客户 端 服务 器 




















建立 TCP 连 接 





HTTP 请 求 报 文 





HTTP 响 应 报 文 





释放 TCP 连 接 











图 3-1 万 维 网 访问 网 点 工作 过 程 


首先 ,Web 服务 器 会 不 断 地 监听 服务 器 提供 HTTP 服务 的 TCP 端口 (默认 的 端口 为 
80) ,检测 客户 端 向 服务 器 发 出 的 连接 建立 请 求 。 当 服务 器 监听 到 连接 建立 请 求 并 与 客户 
端 建立 了 TCP 连接 后 ,客户 端 向 服务 器 发 出 浏览 某 个 页 面 的 请 求 , 服 务 器 就 会 返回 客户 
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端 所 请 求 的 页 面 作 为 响应 。 当 用 户 关闭 本 地 浏览 器 或 者 结束 网 站 访问 时 ,服务 器 释放 
TCP 连接 。 这 种 客户 端 和 服务 器 之 间 请 求 和 响应 的 交互 必须 按照 规定 的 格式 并 且 遵 循 
一 定 的 规则 ,这 些 格式 和 规则 就 是 超 文本 传输 协议 。 


3.1.2 ”统一 资源 定位 符 


万 维 网 以 客户 端 - 服 务 器 的 方式 工作 ,客户 端 向 服务 器 发 出 请 求 , 服 务 器 向 客户 端 返 
回 客户 端 所 需 的 万 维 网 文档 。 在 客户 端 浏览 器 中 显示 的 万 维 网 文档 即 平常 所 说 的 页 面 。 
那么 客户 端 是 如 何 定位 分 布 在 整个 互联 网 上 的 万 维 网 文档 呢 ? 为 解决 这 个 问题 ,万 维 网 
使 用 统一 资源 定位 符 (Uniform Resource Locator, URL) 标 志 万 维 网 上 的 各 个 文档 ,并 使 
每 一 个 文档 具有 了 唯一 的 URL。 

URL 用 来 表示 从 互联 网 中 得 到 的 资源 位 置 和 访问 这 些 资源 的 方法 , 即 平常 所 说 的 
“网 址 ”。 而 这 里 所 说 的 “资源 ”是 指 在 互联 网 上 可 以 被 任何 人 访问 的 对 象 ,包括 文件 目录 、 
文件 、 图 像 和 声音 等 。 由 此 可 见 ,URL 相当 于 一 个 文件 名 在 网 络 范围 的 扩展 ,是 互联 网 上 
任何 可 访问 对 象 的 指针 。 由 于 访问 不 同 对 象 所 使 用 的 协议 不 同 ,URL 还 需要 指出 读 取 某 
个 对 象 时 使 用 的 协议 。 

URL 一 般 由 以 下 4 个 部 分 组 成 ， 

< 协议 > ://< 主 机 > :< 端口 >/< 路 径 > 

当 客 户 端 访问 万 维 网 的 网 站 时 ,需要 使 用 HTTP, 此 时 URL 的 一 般 形式 是 

http://< 主 机 > :< 端口 > /< 路径 > 
其 中 http 表示 要 通过 HTTP 来 定位 网 络 资源 ;“ 主 机 ”是 指 该 网 站 是 在 互联 网 中 哪 一 台 
主机 上 ,一般 为 主机 在 互联 网 上 的 域名 或 者 IP 地 址 ;“ 端 口 ”是 指 服务 器 监听 的 TCP 端口 
号 ,HTTP 的 默认 端口 号 是 80, 通 常 可 以 省 略 , 当 服务 器 监听 的 端口 不 是 80 的 时 候 , 则 需 
要 显 式 指定 端口 ,例如 8080;“ 路 径 ” 是 指 该 资源 在 服务 器 中 的 路 径 , 若 省 略 此 项 , 则 URL 


会 指向 网 站 的 主页 ,例如 http: //www. example. com, 即 访问 某 个 网 站 的 主页 ,并 省 略 了 
默认 端口 号 80。 


3.1.3 HTTP 请 求 

HTTP 报 文 分 为 请 求 报 文 和 响应 报 文 两 种 。HTTP 请 求 报 文 由 请 求 行 .请 求 头 、 请 
求实 体 3 部 分 组 成 ,具体 结构 如 图 3-2 所 示 。 

1. 请 求 行 

请 求 行 用 于 说 明 请 求 类 型 .要 访问 的 资源 以 及 所 使 用 的 HTTP 版 本 。 以 一 个 方法 符 
号 开头 ,以 空格 分 开 , 后 面 跟着 请 求 的 URL 和 协议 的 版 本 ,格式 如 下 : 


Method URL HTTP- Version CRLF 


其 中 ,Method 表示 请 求 方法 ,URL 是 一 个 统一 资源 定位 符 , HTTP-Version 表示 请 求 的 
HTTP 版 本 ,CRLF 表示 回 车 和 换行 (除了 作为 结尾 的 CRLF 外 ,不 允许 出 现 单独 的 CR 
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空格 回 车 换行 
方法 URL 版 本 | CRLF | 请 求 行 
字段 名 ”|: 则 值 CRLF 
请 求 头 
字段 名 ”|: 必 值 CRLE 
CRLF 
请 求实 体 | 








图 3-2 HTTP 请 求 报 文 


或 LF 字符 )。 

请 求 方法 有 多 种 ,常用 的 方法 有 GET、POST 和 HEAD。 

(1) GET 方 法 : 在 浏览 器 的 地 址 栏 中 输入 网 址 来 访问 网 页 时 ,浏览 器 采用 GET 方法 
从 服务 器 获取 资源 。GET /index. html HTTP/1. 1 就 表示 它 将 要 从 服务 器 获取 /index. 
html 的 内 容 。 

(2) POST 方法 : 被 请 求 服务 器 需 接收 附 在 请 求 后 面 的 数据 ,常用 于 提交 表单 。 

(3) HEAD 方法 : 与 GET 方法 几乎 一 样 ,对 于 HEAD 请 求 的 回应 部 分 来 说 , 它 的 
HTTP 头 部 中 包含 的 信息 与 通过 GET 请 求 所 得 到 的 信息 是 相同 的 。 利 用 HEAD 方法 ， 
不 必 传 输 整 个 资源 内 容 , 就 可 以 得 到 URL 所 标识 的 资源 的 信息 。 该 方法 常用 于 测试 超 
链接 的 有 效 性 、 是 否 可 以 访问 以 及 最 近 是 否 更 新 。 

各 个 方法 的 解释 如 表 3-1 所 示 。 


表 3-1 HTTP 请 求 方法 





























请 求 方法 说 明 
GET 请 求 获取 URL 所 标识 的 资源 
POST 在 URL 所 标识 的 资源 后 附加 新 的 数据 
HEAD 请 求 获 取 由 URL 所 标识 的 资源 的 响应 消息 报头 
PUT 请 求 服务 器 存储 一 个 资源 ,并 用 URL 作为 其 标识 
DELETE 请 求 服务 器 删除 URL 所 标识 的 资源 
TRACE 请 求 服务 器 回 送 收 到 的 请 求 信息 ,主要 用 于 测试 或 诊断 
CONNECT 保留 将 来 使 用 
OPTIONS 请 求 查询 服务 器 的 性 能 ,或 者 查询 与 资源 相关 的 选项 和 需求 
PATCH 请 求 更 改 部 分 文档 
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除了 表 3-1 介绍 的 HTTP 请 求 方法 , WebDAYV 等 基于 HTTP 的 通信 协议 还 拓展 了 
HTTP, 在 GET、POST、HEAD 等 HTTP 标准 方法 以 外 添加 了 一 些 新 的 方法 ,例如 
PROPFIND( 查 看 文件 属性 )、PROPPATCH( 设 置 文 件 属性 )、MKCOL( 创 建文 件 集合 )、 
COPY (文件 复制 )、MOVE( 文 件 移动 )、LOCK( 文 件 加 锁 )、UNLOCK (文件 解锁 ) 等 ,使 应 
用 程序 可 直接 对 Web 服务 器 进行 读 写 。 

2. 请 求 头 

紧 接 着 请 求 行 之 后 的 部 分 是 请 求 头 。 请 求 头 允许 客户 端 向 服务 器 传递 请 求 的 附加 信 
息 以 及 客户 端 自 身 的 信息 ,例如 请 求 的 目的 地 等 。 请 求 头 的 详细 讲解 见 3.1.5 节 。 

3. 请 求实 体 

请 求实 体 也 叫 请 求 数据 .正文 ,此 处 可 以 添加 任意 的 其 他 数据 。 


3.1.4 HTTP 响应 


在 接收 到 HTTP 请 求 报 文 后 ,服务 器 会 返回 一 个 HTTP 响应 报 文 。HTTP 响应 报 
文 由 状态 行 、 响 应 头 、 响 应 实体 3 部 分 组 成 ,其 具体 结构 如 图 3-3 所 示 。 












































空格 回 车 换行 
版 本 “| | 状态 码 | | 短语 ca | 状态 生 
字段 名 : 半 值 ICGRIE 
响应 头 
字段 名 |: 朵 值 
CRLF 
响应 实体 








图 3-3 HTTP 响应 报 文 
1. 状态 行 
状态 行 由 HTTP 版 本 号 .状态 码 、 描 述 状 态 的 短语 3 部 分 组 成 。 格 式 如 下 : 


HTTP-Version Status-Code Reason- Phrase CRLF 


其 中 ,HTTP-Version 表示 服务 器 HTTP 的 版 本 ,Status-Code 表示 服务 器 发 回 的 响应 状 
态 码 ,Reason-Phrase 表示 状态 代码 的 文本 描述 。 

状态 码 由 3 位 数字 组 成 , 左 侧 第 一 位 数字 定义 了 响应 的 类 别 , 有 5 种 可 能 取 值 ,具体 
说 明 如 表 3-2 所 示 。 
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表 3-2 状态 码 取 值 说 明 




















状态 码 说 明 

1XX 指示 信息 。 表 示 请 求 已 被 接收 ,继续 处 理 

2xx 成 功 。 表 示 请 求 已 被 成 功 接收 、 理 解 并 接受 

3XX 重 定向 。 表 示 要 完成 请 求 必须 进行 更 进一步 的 操作 
4Xx 客户 端 错误 。 表 示 请 求 有 语法 错误 或 请 求 无 法 实现 
5X X 服务 器 端 错误 。 表 示 服 务 器 未 能 实现 合法 的 请 求 


常见 状态 码 及 状态 描述 短语 如 表 3-3 所 示 。 
表 3-3 常见 状态 码 及 状态 描述 短语 

















状态 码 及 状态 描述 短语 说 明 
200 OK 客户 端 请 求 成 功 
400 Bad Request 客户 端 请 求 有 语法 错误 ,不 能 被 服务 器 所 理解 
人 人 WWW-Authenticate 报头 域 一 起 
403 Forbidden 服务 器 收 到 请 求 , 但 是 拒绝 提供 服务 
404 Not Found 请 求 资源 不 存在 ,例如 输入 了 错误 的 URL 





500 Internal Server Error | 服务 器 发 生 不 可 预期 的 错误 
503 Server Unavailable 服务 器 当前 不 能 处 理 客户 端的 请 求 ,一 段 时 间 后 可 能 恢复 正常 








2. 响应 头 

响应 头 允 许 服务 器 传递 HTTP 响应 的 附加 信息 、 关 于 服务 器 的 信息 和 对 URL 所 标 
识 的 资源 进行 下 一 步 访问 的 信息 。 响 应 头 的 详细 讲解 见 3.1.5 节 。 

3. 响应 实体 

响应 实体 即 服务 器 返回 资源 的 内 容 。 

3.1.5 HTTP 消息 

HTTP 消息 又 称 HTTP 头 (HTTP header) ,包括 普 mm 
通 头 .请 求 头 .响应 头 .实体 头 4 部 分 。 其 一 般 结构 如 | 字 彼 各 | 和 | 值 | SR 
图 3-4 所 示 。 图 3-4 HTTP 头 结构 示意 图 

1. 普通 头 

在 普通 头 中 ,有 少数 报头 用 于 所 有 的 请 求 和 响应 消息 ,但 并 不 用 于 被 传输 的 实体 ,只 
用 于 传输 的 消息 。 

请 求 时 的 缓存 指令 包括 no-cache( 用 于 指示 请 求 或 响应 消息 不 能 缓存 ) .no-store、 


max-age .max-stale .min-fresh .only-if-cached 。 
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响应 时 的 缓存 指令 包括 public、 private、 no-cache、 no-store、 no-transform、must- 
revalidate .proxy-revalidate .max-age\s-maxage。 

常用 的 HTTP 普通 头 如 下 : 

。 Cache-Control: 用 于 指定 缓存 指令 。 缓 存 指令 是 单 向 的 (响应 中 出 现 的 缓存 指令 
在 请 求 中 未 必 会 出 现 ) , 且 蚌 独立 的 (一 个 消息 的 缓存 指令 不 会 影响 另 一 个 消息 处 
理 的 缓存 机 制 ) 。 

。 Date: 表示 消息 产生 的 日 期 和 时 间 。 

。 Connection: 允许 发 送 指定 连接 的 选项 。 例 如 指定 连接 是 连续 的 ,或 者 指定 close 
选项 ,通知 服务 器 在 响应 完成 后 关闭 连接 。 


2. 请 求 头 

请 求 头 只 出 现在 HTTP 请 求 中 ,请 求 头 允许 客户 端 向 服务 器 传递 请 求 的 附加 信息 以 
及 客户 端 自身 的 信息 。 

常用 的 HTTP 请 求 头 如 下 : 

。 Host: 主要 用 于 指定 被 请 求 资源 的 Internet 主机 和 端口 号 , 它 通常 从 HTTP 
URL 中 提取 出 来 的 ,例如 Host: www. example. com: 88 。 
User-Agent: 允许 客户 端 将 它 的 操作 系统 .浏览 器 和 其 他 属性 告诉 服务 器 。 某 些 
网 站 能 列 出 用 户 的 操作 系统 名 称 和 版 本 ,用 户 所 使 用 的 浏览 器 的 名 称 和 版 本 其 实 
是 服务 器 从 User-Agent 请 求 头 中 获取 的 ,例如 User-Agent: My privacy。 
Referer: 包含 一 个 URL ,代表 当前 访问 URL 的 上 一 个 URL。 例 如 Referer: 
www. example. comy/login. php ,代表 用 户 从 login. php 来 到 当前 网 页 。 
Cookie: 是 一 段 明 文 显 示 的 文本 信息 ,常用 来 表明 请 求 者 身份 等 。Cookie 的 详细 
讲解 见 3.1.6 节 。 
Range: 可 以 请 求 正 文 的 部 分 内 容 ,多 线程 下 载 一 般 会 用 到 此 请 求 头 。 例 如 
Range: bytes 一 0 一 499 ,表示 正文 头 为 500B。 
x-forward-for: 即 XXF 头 , 它 代表 请 求 端的 IP, 可 以 有 多 个 ,中 间 使 用 逗号 隔 开 ， 
例如 x-forward-for: 127.0.0.1。 
Accept: 用 于 指定 客户 端 接受 哪些 MIME 类 型 的 信息 。 例 如 , Accept: image/ 
gif ,表明 客 户 端 接受 GIF 图 像 格式 的 资源 ; Accept: text/html, 表 明 客 户 端 接受 
HTML 文本 。 
。 Accept-Charset: 用 于 指定 客户 端 接受 的 字符 集 ,例如 Accept-Charset: gb2312。 
Accept-Language: 用 于 指定 客户 端 接受 的 语言 ,例如 Accept-Language: zh-cn。 
Accept-Encoding: 用 于 指定 客户 端 接受 的 内 容 编 码 , 例 如 Accept-Encoding: 
gzip. deflate。 


3. 响应 头 

响应 头 允 许 服务 器 传递 响应 的 附加 信息 、 关 于 服务 器 的 信息 和 对 URL 所 标识 的 资 
源 进行 下 一 步 访问 的 信息 。 

常用 的 HTTP 响应 头 如 下 : 
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。 Location: 用 于 重 定向 接收 者 到 一 个 新 的 位 置 ,服务 器 在 接收 到 这 个 请 求 后 会 立 
刻 访 问 Location 响应 头 指 向 的 页 面 , 常 配合 302 状态 码 使 用 。 

。 Server: 包含 服务 器 用 来 处 理 请 求 的 软件 信息 ,与 User-Agent 请 求 头 相对 应 , 例 
如 Server: Apache-Coyote/1.1。 

。 Refresh: 服务 器 通过 该 响应 头 告诉 浏览 器 定时 刷新 。 

。 Set-Cookie: 用 于 指定 服务 器 向 客户 端 设置 Cookie。 


4. 实体 头 
请 求 和 响应 消息 都 可 以 传送 一 个 实体 。 实 体 头 定义 了 关于 实体 正文 和 请 求 所 标识 的 


资源 的 元 信息 。 元 信息 也 就 是 实体 内 容 的 属性 ,包括 实体 信息 类 型 .长度 和 压缩 方法 等 。 


常用 的 HTTP 实体 头 如 下 : 

。 Content-Type: 用 于 指明 发 送 给 接收 者 的 实体 正文 的 媒体 类 型 ,例如 Content- 
Type : text/html;charset=GB2312。 

Content-Encoding: 被 用 作 媒体 类 型 的 修饰 符 , 它 的 值 指示 了 已 经 被 应 用 到 实体 
正文 的 附加 内 容 的 编码 ,因而 要 获得 Content-Type 实体 头 中 所 引用 的 媒体 类 型 ， 
必须 采用 相应 的 解码 机 制 , 例 如 Content-Encoding: gzip。 

Content-Language: 描述 了 资源 所 用 的 语言 ,例如 Content-Language: zh-cn。 
Content-Length: 说 明 实 体 正文 的 长 度 ,以 字 节 数 的 十 进 制 来 表示 。 
Last-Modified: 说 明 资源 的 最 后 修改 日 期 和 时 间 。 

Expires: 给 出 响应 过 期 的 日 期 和 时 间 。 为 了 让 代理 服务 器 或 浏览 器 在 一 段 时间 
以 后 更 新 缓存 中 的 页 面 (再 次 访问 曾 访问 过 的 页 面 时 ,直接 从 缓存 中 加 载 , 可 以 缩 
短 响应 时 间 和 降低 服务 器 负载 ) ,可 以 使 用 Expires 实体 头 域 指定 页 面 过 期 的 
时 间 。 


3.1.6 Cookie 
因为 HTTP 是 一 个 无 状态 的 协议 ,所 以 一 旦 数据 交换 完毕 ,客户 端 与 服务 器 的 连接 


就 会 关闭 ,再 次 交换 数据 时 需要 建立 新 的 连接 ,这 意味 着 服务 器 无 法 从 连接 上 跟踪 会 话 。 
即 ,用户 A 购买 了 一 件 商 品 放 和 人 购物 车 内 , 当 再 次 购买 商品 时 服务 器 已 经 无 法 判断 该 购 
买 行为 是 属于 用 户 A 的 会 话 还 是 用 户 B 的 会 话 了 。 要 跟踪 会 话 , 必 须 采用 Cookie 机 制 。 


Cookie 实际 上 是 一 小 段 文本 信息 。 在 客户 端 访 问 服务 器 之 后 ,服务 器 会 根据 不 同 的 


情况 ,在 HTTP 响应 头 中 置 入 Set-Cookie 通知 客户 端 设 置 Cookie。 客 户 端 浏 览 器 会 以 
“名 称 王 值 ”的 形式 在 本 地 保存 Cookie。 在 每 次 进行 HTTP 会 话 时 ,Cookie 都 会 作为 一 
个 字段 明文 放置 在 HTTP 头 中 ,以 此 传递 用 户 的 状态 。 
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Set-Cookie 的 一 般 形 式 如 下 : 


Set-Cookie:NAME=VALUE[;domain=DOMAIN] [;path=PATH] [;max- age=AGE] [;expire= 


EXPIRE] [; secure] [;Httponly] 


有 具体 示例 如 下 : 


Set - Cookie: keyl = example; domain =. example. com; path =/example; expire = 
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Wednesday, 19-OCT-05 23:12:40 GMT; [secure] 


其 中 ,第 一 部 分 是 “名 称 一 值 > 数据 对 ,这 部 分 不 能 省 略 ;domain 部 分 指定 Cookie 被 
发 送 到 哪个 服务 器 主机 ,假设 domain 王 .example. com, 则 Cookie 会 发 送 到 * . example 
.com 上, 如果 domain 为 空 , 则 domain 与 当前 网 站 相同 ;path 部 分 控制 哪些 访问 能 够 触 
发 该 Cookie 的 发 送 , 如 果 未 指定 path,Cookie 将 对 全 站 生效 ;expire 部 分 指明 了 Cookie 
失效 的 时 间 ,如 果 未 指定 expire,Cookie 只 会 持续 到 本 次 会 话 结束 ,但 是 现 已 被 max-age 
取代 ;如 果 指 定 了 secure, 那 么 Cookie 只 能 通过 安全 通道 传输 ( 即 SSL 通道 ) ,否则 浏览 器 
将 会 忽略 此 Cookie; 而 在 支持 HttpOnly 的 浏览 器 中 ,JavaScript 无 法 读 取 和 修改 
HttpOnly Cookie, 这 样 可 以 让 Cookie 免 受 脚本 攻击 。 

Cookie 中 可 以 包含 除了 逗号 ,分 号 、 空 格 之 外 所 有 可 打印 的 ASCII 字符 。 除 了 服务 
器 端的 设置 ,浏览 器 中 的 脚本 也 可 以 通过 给 对 象 document. cookie 赋值 来 设置 页 面 的 
Cookie 。 

在 客户 端 浏览 器 设置 完 Cookie 后 ,下 次 访问 资源 的 时 候 服 务 器 就 可 以 识别 用 户 , 从 
而 实现 了 状态 的 传递 。 而 客户 端 也 可 以 读 取 Cookie 中 的 内 容 , 将 Cookie 作为 和 服务 器 
共享 数据 的 工具 。 


引 3 HTTP 校 验 





HTTP 的 使 用 极为 广泛 ,但 是 却 存在 不 小 的 安全 缺陷 。HTTP 在 设计 时 并 未 考虑 信 
息 的 加 密 和 验证 ,因此 HTTP 面临 着 数据 的 明文 传输 和 缺乏 对 消息 完整 性 的 验证 机 制 两 
个 问题 。 类 似 网 银 支付 ,账号 登录 等 需要 安全 保证 的 地 方 ,如 果 使 用 HTTP 可 能 会 导致 
严重 的 信息 泄露 风险 。 

在 HTTP 的 数据 传输 过 程 中 ,只 要 攻击 者 能 够 控制 受害 者 网 络 , 便 可 以 轻易 地 嗅 探 、 
修改 HTTP 传输 的 内 容 。 另 外 ,HTTP 在 传输 客户 端 请 求 和 服务 器 响应 时 ,仅仅 在 报 文 
头 部 包含 了 传输 的 数据 的 长 度 ( 数 据 长 度 这 一 栏 也 可 以 被 攻击 者 任意 修改 ) ,而 没有 任何 
校 验 数据 完整 性 的 机 制 , 这 使 得 它 极 容易 受到 攻击 者 的 算 改 。 

由 于 HTTP 请 求 是 由 客户 端 发 起 的 ,因此 HTTP 请 求 相 较 于 HTTP 响应 更 容易 受 
到 攻击 者 的 算 改 。 当 大 量 畸 形 的 HTTP 请 求 数据 包 攻 击 服务 器 时 ,将 影响 服务 器 对 正常 
请 求 的 反应 速度 ,严重 的 甚至 会 造成 服务 器 缓冲 区 溢出 或 者 服务 器 闪 病 。 例 如 ,HTTP 
Split 攻击 利用 了 服务 器 处 理 HTTP 格式 的 机 制 漏洞 ,向 HTTP 数据 包 中 注入 CRLEF ,从 
而 将 当前 的 HTTP 数据 隔断 成 两 个 数据 包 , 使 攻击 者 有 机 会 控制 当前 的 HTTP 响应 和 
下 一 次 的 HTTP 响应 。 

因此 为 了 加 强 HTTP 数据 传输 的 安全 ,可 以 引入 Web 应 用 防火 墙 对 HTTP 的 请 求 
进行 异常 检测 , 即 进行 HTTP 校 验 。 

通过 WAF 可 以 设置 HTTP 包头 各 字段 的 长 度 限 值 .个 数 限 值 等 ,进行 细 粒 度 的 
HTTP 校 验 。 当 客户 端 向 服务 器 发 起 请 求 时 ,WAF 引擎 获取 标准 头 中 的 数据 ,对 源 IP 
对 象 向 服务 器 IP 对 象 的 请 求 进行 校 验 ,然后 将 规则 中 设 定 了 限 值 的 实际 值 和 限 值 比较 ， 
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如 果 大 于 限 值 , 则 说 明 可 能 遭受 了 畸形 HTTP 包 的 攻击 。 

针对 HTTP 请 求 报 文 整体 ,可 以 对 参数 个 数 .HTTP 请 求 最 大 长 度 、 请 求 行 的 最 大 
长 度 、 头 信息 最 大 个 数 、 消 息 体 实 际 长 度 等 进行 校 验 ;针对 HTTP 请 求 行 ,可 以 检测 URL 
的 最 大 长 度 、 参 数 最 大 个 数 、 参 数 最 大 长 度 ;针对 HTTP 请 求 头 , 可 以 对 各 种 常用 请 求 头 
的 个 数 及 长 度 进行 限制 ;同时 也 可 以 检查 HTTP 的 版 本 号 和 请 求 方法 .HOST 域 是 否 为 
空 .POST 请 求 消息 报头 中 的 content_length 是 否 为 空 等 。 


3.3 ”HTTP 访问 控制 





访问 控制 (access control) 是 指 系 统 对 用 户 身份 及 其 所 属 的 预先 定义 的 策略 组 限制 其 
使 用 数据 资源 能 力 的 手段 ,通常 用 于 系统 管理 员 控 制 用 户 对 服务 器 目录、 文件 等 网 络 资 
源 的 访问 。 

访问 控制 是 系统 机 密 性 、 完 整 性 、 可 用 性 和 合法 使 用 性 的 重要 基础 ,是 网 络 安 全 防范 
和 资源 保护 的 关键 策略 之 一 ,也 是 主体 依据 某 些 控 制 策略 或 权限 对 客体 本 身 或 其 资源 进 
行 的 不 同 授权 访问 。 访 问 控制 的 主要 目的 是 限制 访问 主体 对 客体 的 访问 ,从 而 保障 数据 
资源 在 合法 范围 内 得 以 有 效 使 用 和 管理 。 抽 象 地 说 , 即 限制 某 个 主体 对 某 个 客体 实施 某 
种 操作 。 

建立 访问 控制 模型 和 实现 访问 控制 都 是 抽象 和 复杂 的 行为 ,实现 访问 的 控制 不 仅 要 
保证 授权 用 户 使 用 的 权限 与 其 所 拥有 的 权限 对 应 ,制止 非 授 权 用 户 的 非 授 权 行为 ;还 要 保 
证 敏感 信息 的 交叉 感染 。 访 问 控制 的 实现 首先 要 考虑 对 合法 用 户 进行 验证 ,然后 对 控制 
策略 进行 选用 与 管理 ,最 后 对 非法 用 户 或 是 越权 操作 进行 管理 。 

HTTP 访问 控制 主要 是 针对 网 络 层 的 访问 控制 ,通过 配置 面向 对 象 的 通用 包 过 滤 规 
则 实现 控制 域名 以 外 的 访问 行为 。 具 体 的 访问 控制 分 为 以 下 3 类 : 

(1) 对 访问 者 访问 的 URL 的 控制 ,允许 或 不 允许 访问 设 定 的 URL 对 象 。 即 防止 合 
法 用 户 对 受 保护 的 网 络 资 源 进行 非 授权 的 访问 。 为 保障 系统 内 部 信息 的 机 密 性 与 完整 
性 ,减少 关键 信息 丢失 或 被 修改 的 风险 ,管理 员 应 根据 业务 的 需要 对 服务 器 内 的 关键 资源 
所 在 的 URL 进行 访问 控制 。 

(2) 对 访问 者 的 HTTP 方 法 的 控制 ,允许 或 不 允许 设 定 的 HTTP 方法 访问 。 即 对 越 
权 操 作 进 行 管理 。 只 是 获取 信息 而 不 会 更 改 服务 器 状态 的 方法 是 安全 的 。 例 如 HEAD、 
GET、OPTIONS 和 TRACE 一 般 被 认为 是 安全 的 方法 ;而 POST、PUT、DELETE 和 
PATCH 由 于 可 能 会 改变 服务 器 状态 ,所 以 一 般 被 认为 是 不 安全 的 ; WebDAV 拓展 的 
HTTP 方法 由 于 涉及 文件 的 读 写 ,也 被 认为 是 不 安全 的 。 

(3) 对 访问 者 的 IP 的 控制 ,允许 或 不 允许 设 定 的 IP 对 象 访问 。 即 保证 合法 用 户 访 
问 受权 保护 的 网 络 资源 ,防止 非法 的 主体 访问 受 保护 的 网 络 资源 。 对 访问 者 的 IP 进行 控 
制 能 有 效 地 防御 分 布 式 拒绝 服务 (Distributed Denial of Service,DDoS) 攻 击 。DDoS 攻击 
是 指 借助 于 客户 /服务 器 技术 ,将 多 个 计算 机 联合 起 来 作为 攻击 平台 发 动 拒绝 服务 
(Denial of Service，DoS) 攻 击 , 从 而 成 倍 地 提高 拒绝 服务 攻击 的 威力 。 在 向 目标 系统 发 
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起 的 恶意 攻击 请 求 中 ,会 随机 生成 大 批 假冒 源 了 P。 一 般 而 言 ,任何 进入 内 部 网 络 的 数据 
包 都 不 能 把 网 络 内 部 的 地 址 作为 源 地 址 ,任何 进入 内 部 网 络 的 数据 包 都 必须 把 网 络 内 部 
的 地 址 作为 目的 地 址 ,任何 离开 内 部 网 络 的 数据 包 都 必须 把 网 络 内 部 的 地 址 作为 源 地 址 ， 
任何 离开 内 部 网 络 的 数据 包 都 不 能 把 网 络 内 部 的 地 址 作为 目的 地 址 。 


. HTTP 的 URL 的 一 般 格式 是 什么 ? 

. CRLF 是 指 什么 ? 简 述 HTTP 响应 报 文 的 结构 。 

. 写 出 5 种 HTTP 请 求 方法 ,并 简 述 其 作用 及 安全 性 。 

. 第 一 个 数字 为 4 的 状态 码 表示 什么 ?404 Not Found 具体 表示 什么 ? 

. 分 别 说 明 Referer、Host、Set-Cookie 是 哪 种 类 型 的 HTTP 头 , 并 简 述 它们 的 


an 性 


作用 。 
6. Set-Cookie 的 一 般 形式 是 什么 ? 
7. 写 出 5 个 HTTP 的 校 验 的 对 象 及 限制 。 
8. HTTP 访问 控制 主要 对 TCP/IP 的 哪 一 层 进行 访问 控制 ? 具体 可 以 分 为 哪 几 类 ? 


33 





Web 应 用 防火 墙 技术 及 应 天 





4 但 


Web 防护 


Web 应 用 都 必须 由 Web 服务 器 提供 支撑 ,Web 服务 器 是 构建 和 支撑 各 类 网 站 和 信 
息 系 统 的 最 重要 的 基础 设备 之 一 。 随 着 Web 应 用 的 普及 和 发 展 ,针对 Web 服务 器 的 各 
种 攻击 手段 也 层出不穷 ,攻击 者 通过 入 侵 Web 服务 器 窃取 Web 服务 器 后 台数 据 库 中 数 
据 的 网 络 安全 事件 屡屡 发 生 , 因 此 Web 服务 器 的 安全 防护 至 关 重 要 。 本 章 主 要 介绍 
Web 应 用 常见 的 SQL 注入 ` 跨 站 脚本 攻击 . 跨 站 请 求 伪造 .恶意 流量 ,文件 上 传 和 下 载 等 
攻击 的 原理 ,检测 和 防范 措施 ,同时 介绍 Web 服务 器 敏感 信息 泄露 和 弱 口 令 的 原理 ,检测 
及 防范 措施 。 


A 弱 密 码 





弱 密 码 (weak password) 也 称 弱 口 令 , 即 容易 破解 的 密码 ,通常 是 简单 的 数字 组 合 、 键 
盘 上 的 邻近 键 或 用 户 常用 信息 ,例如 123456、abc123、qwerty 等 。 终 端 设 备 出 厂 配 置 的 通 
用 密码 等 也 属于 弱 密 码 , 例 如 网 络 设备 出 厂 时 设置 的 管理 员 初始 密码 为 admin, 而 用 户 在 
使 用 的 过 程 中 未 修改 管理 员 的 初始 密码 。 在 设备 的 操作 使 用 手册 中 会 介绍 设备 的 用 户 名 
和 初始 密码 ,如 果 用 户 在 使 用 的 过 程 中 不 修改 用 户 的 初始 密码 ,系统 就 极 易 遭受 攻击 。 
表 4-1 列举 了 一 些 国内 外 常见 的 弱 密码 和 用 户 名 。 
表 4-1 常见 的 弱 密 码 和 用 户 名 


000000、 111111、11111111、112233、123123、123321、123456、12345678、 
654321、 666666、888888、abcdef、 abcabc、abc123、 alb2c3、 aaalll、123qwe、 





国 见 
中 国 常见 弱 密 码 qwerty、qweasd 、admin 、password、p @ ssword、passwd 、iloveyou、5201314、 
asdfghjkl、66666666 ,88888888 
password、 123456、12345678、qwerty、abc123、monkey、1234567、letmein、 
国外 常见 弱 密 码 trustnol ,dragon, baseball, 111111, iloveyou、, master, sunshine, ashley, bailey、 


passwOrd、 shadow、 123123、 654321、 superman、 qazwsx、 michael、 
football .asdfghjkl 





admin .administrator apache、 root, backup、 cyrus,ftp、, guest、 oracle, test, user、 
系统 常见 用 户 名 tester .www、 Web,server,toor、 Webmaster, student, students、 postgres .mysql、 
nagios,info、server 





4.1.1 弱 密 码 攻 击 
长 期 以 来 , 弱 密 码 一 直 是 各 项 安全 检查 、 风 险 评估 报告 中 最 常见 的 高 风险 安全 问题 ， 
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成 为 攻击 者 控制 系统 的 主要 途径 。 由 于 大 部 分 安全 防护 体系 是 基于 密码 的 ,如 果 密 码 被 
破解 ,就 意味 着 其 安全 体系 的 全 面 崩溃 。 

弱 密码 漏洞 有 三 大 特点 : 

(1) 危害 大 。 弱 密码 漏洞 是 目前 最 为 高 危 的 安全 漏洞 之 一 , 当 系 统 的 管理 员 口 令 是 
弱 密码 时 ,攻击 者 可 利用 管理 员 用 户 的 弱 密 码 进 入 系统 ,从 而 控制 整个 系统 。 

(2) 易 利用 。 弱 密码 也 是 最 容易 被 利用 的 安全 漏洞 之 一 ,攻击 者 只 需要 利用 简单 的 
IE 浏览 器 或 者 借助 简单 的 工具 技能 就 能 对 此 种 类 型 的 漏洞 进行 利用 。 

(3) 修补 难 。 如 果 系 统 的 弱 密 码 没有 固化 在 固件 中 ,是 可 以 修改 的 ,此 种 类 型 的 弱 密 
码 修补 成 本 非常 低 ,管理 人 员 可 以 随时 修改 。 但 是 往往 由 于 用 户 的 安全 意识 比较 差 ,没有 
及 时 修改 弱 密 码 ,从 而 导致 弱 密 码 被 攻击 者 利用 。 如 果 管 理 员 的 弱 密 码 被 固化 在 固件 中 ， 
弱 密码 的 修补 成 本 就 比较 高 。 很 多 已 经 售 出 的 产品 修改 弱 密 码 的 成 本 更 高 。 

弱 密 码 攻击 的 方法 主要 有 以 下 9 种: 

(1) 社会 工程 学 (social engineering) ,通过 人 际 交 往 这 一 非 技 术 手段 ,以 欺骗 、 套 取 的 
方式 来 获得 密码 。 避 免 此 类 攻击 的 对 策 是 加 强 用 户 安全 意识 。 

(2) 猜测 攻击 。 首 先 使 用 密码 猜测 程序 进行 攻击 。 密 码 猜测 程序 往往 根据 用 户 定义 
密码 的 习惯 猜测 用 户 密码 , 像 名 字 缩 写 、 生 日 ,公司 名 等 。 在 详细 了 解 用 户 的 社会 背景 之 
后 ,攻击 者 可 以 列举 出 几 百 种 可 能 的 密码 ,并 在 很 短 的 时 间 内 就 可 以 完成 猜测 攻击 。 

(3) 字典 攻击 。 如 果 猜 测 攻击 不 成 功 ,入 侵 者 会 继续 扩大 攻击 范围 ,对 所 有 英文 单词 
进行 尝试 ,程序 将 按 序 取出 一 个 又 一 个 的 单词 ,进行 一 次 又 一 次 尝试 ,直到 成 功 。 

(4) 穷 举 攻击 。 如 果 字典 攻击 仍然 不 能 够 成 功 ,入 侵 者 会 采取 穷 举 攻击 。 利 用 穷 举 
法 暴力 破解 是 较 多 的 弱 密 码 检查 工具 (如 Cain and Abel 或 者 其 他 破解 工具 ) 采 用 的 方法 。 
为 了 避免 计算 量 过 大 和 破译 时 间 太 长 ,这 些 破 解 工具 通常 会 使 用 密码 字典 ,只 对 字典 里 的 
密码 进行 尝试 。 

(5) 混合 攻击 ,结合 了 字典 攻击 和 穷 举 攻击 ,先进 行 字典 攻击 ,再 进行 穷 举 攻击 。 

(6) 直接 破解 系统 的 密码 文件 。 入 侵 者 会 寻找 目标 主机 的 安全 漏洞 和 薄弱 环节 , 盗 
取 存 放 系 统 密码 的 文件 ,然后 破译 加 密 的 密码 ,以 便 冒 充 合法 用 户 访问 这 台 主 机 。 

(7) 网 络 嗅 探 。 通 过 嗅 探 器 (sniffer) 在 局 域 网 内 嗅 探 明文 传输 的 密码 字符 串 。 避 人 免 
此 类 攻击 的 对 策 是 网 络 传输 采用 加 密 传输 的 方式 进行 。 

(8) 键盘 记录 。 在 目标 系统 中 安装 键盘 记录 后 门 ,记录 操作 员 输 入 的 密码 字符 串 。 
很 多 间谍 软件 、 木 马 等 都 采用 这 种 方法 盗 取 密码 。 

(9) 其 他 攻击 方式 ,包括 中 间 人 攻击 、 重 放 攻 击 、 生 日 攻击 、 时 间 攻 击 等 。 


4.1.2” 弱 密码 检测 


从 检测 方法 来 看 ,Web 应 用 系统 的 弱 密 码 检测 可 以 分 为 白 盒 检测 和 黑 盒 检测 两 类 
方法 。 
对 于 弱 密 码 检测 来 说 , 白 盒 检测 是 指 通过 直接 查询 数据 库 的 方法 ,将 存放 用 户 名 和 密 
码 的 表 数 据 提取 出 来 ,然后 将 查询 到 的 用 户 密码 与 事先 定义 好 的 弱 密 码 字典 进行 匹配 , 检 
查 是 否 存在 弱 密 码 的 情况 。 这 类 方法 可 以 对 应 用 系统 弱 密 码 情况 进行 全 面 排查 ,做 到 无 
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遗漏 .无 死角 , 且 检 测 效 率 高 。 但 这 类 方法 由 于 需要 直接 连接 数据 库 , 因 此 无 法 进行 远程 
操作 , 且 要 求 测试 者 对 应 用 系统 的 数据 库 信息 和 表 结 构 非 常 清楚 。 

黑 盒 检测 则 是 一 类 更 为 常见 的 弱 密 码 检测 方法 。 相 对 于 白 盒 检测 , 黑 盒 检测 是 基于 
数据 驱动 的 测试 ,这 种 检测 不 需要 了 解 软件 系统 的 内 部 情况 、 人 逻辑 结构 等 ,只 需 知 道 程序 
的 输入 输出 接口 和 主要 功能 即 可 。 穷 举 法 (暴力 破解 ) 是 弱 密 码 黑 盒 检测 的 一 种 主要 方 
法 ,其 原理 是 利用 应 用 系统 的 登录 接口 ,对 所 有 符合 弱 密 码 条 件 的 用 户 密码 进行 逐一 验 
证 ,如 果 其 中 某 种 情况 能 够 登录 成 功 , 则 说 明 该 账号 存在 弱 密 码 情况 。 这 类 方法 的 优势 是 
简单 .方便 ,可 远程 操作 。 其 缺点 是 容易 受到 应 用 系统 的 登录 限制 ,例如 ,如 果 应 用 系统 具 
备 登 录 失败 锁定 功能 , 则 穷 举 法 将 无 法 实施 。 


4.1.3” 弱 密码 防范 


360 安全 中 心 针 对 中 国 网 民 密 码 使 用 习惯 发 布 了 “密码 安全 指南 ”, 建 议 网 民 从 以 下 4 
个 方面 保护 账号 安全 : 

(1) 尽量 使 用 “字母 十 数字 十 特殊 符号 ”形式 的 高 强度 密码 。 

(2) 网 银 、 网 上 支付 .常用 邮箱 、 聊 天 账号 单独 设置 密码 ,切忌 “一 套 密码 到 处 用 ”。 

(3) 按照 账号 重要 程度 对 密码 进行 分 级 管理 ,重要 账号 定期 更 换 密码 。 

(4) 避免 以 生日 ,姓名 拼音 、 手 机 号 码 等 与 身份 隐私 相关 的 信息 作为 密码 ,因为 攻击 
者 针对 特定 目标 破解 密码 时 ,往往 首先 试探 此 类 信息 。 

要 有 效 防范 弱 密 码 攻 击 ,首先 要 选择 一 个 好 的 密码 ,并 且 要 注意 保护 密码 的 安全 。 好 
密码 是 防范 弱 密 码 攻 击 的 最 基本 、 最 有 效 的 方法 。 最 好 采用 字母 ,数字 、 标 点 符号 和 特殊 
字符 的 组 合 ,同时 有 大 小 写字 母 ,长 度 最 好 达到 8 个 以 上 ,绝对 不 要 用 易于 被 他 人 获知 的 
信息 作 密 码 。 
注意 保护 密码 安全 。 不 要 将 密码 记 在 纸 上 或 存储 于 计算 机 文件 中 ;最 好 不 要 将 自己 
的 密码 告诉 其 他 人 ;不 要 在 不 同 的 系统 中 使 用 相同 的 口令 ;在 输入 口令 时 应 确保 无 人 在 身 
边 窥 视 ; 在 公共 上 网 场所 (如 网 吧 等 处 ) 最 好 先 确认 系统 是 否 安全 ;定期 更 改口 令 , 至 少 6 
个 月 更 改 一 次 ,这 会 使 遭受 口令 攻击 的 风险 降 到 最 低 。 

目前 ,Web 应 用 防火 墙 也 具有 弱 密 码 的 检测 及 防护 功能 , 当 WAF 检测 到 系统 中 存在 
的 弱 口 令 时 ,会 将 弱 口 令 转 换 为 复杂 口令 展示 给 用 户 , 但 实际 交互 的 还 是 原 口令 。 





4 2 SQL 注入 





注 和 (injection) 类 漏洞 是 Web 应 用 系统 中 最 常见 的 安全 漏洞 。 注 和 类 漏洞 的 共同 
特点 是 Web 应 用 程序 对 用 户 输入 的 参数 未 做 输入 验证 和 过 滤 处 理 就 输出 到 相应 的 请 求 
对 象 中 存储 或 执行 ,从 而 给 Web 服务 器 .应 用 系统 和 数据 库 带 来 安全 隐患 。 

SQL 注入 漏洞 是 危害 性 很 大 的 一 种 注入 类 漏洞 。 攻 击 者 利用 SQL 注入 漏洞 可 从 数 
据 库 中 获取 敏感 信息 ,在 数据 库 中 添加 数据 库 操作 用 户 , 从 数据 库 中 导出 文件 ,甚至 获取 
数据 库 系 统 的 管理 员 权 限 。 
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4.2.1 SQL 注入 攻击 原理 


Web 应 用 系统 普遍 采用 三 层 架构 , 即 由 表示 层 、 业 务 逻 辑 层 和 数据 层 组 成 ,如 图 4-1 
所 示 。 其 中 数据 层 为 后 台数 据 库 系统 ,SQL 注入 攻击 的 对 象 主要 是 后 台数 据 库 系统 。 











表示 层 业务 逻辑 层 数据 层 
发 送 应 用 请 求 本 执行 SQL 语句 
呈现 给 用 户 返回 数据 王 
图 4-1 三 层 架 构 


SQL 注入 漏洞 主要 存在 于 动态 网 站 的 Web 应 用 系统 中 。 攻 击 者 将 恶意 的 SQL 请 
和 插入 雪 单 的 输入 域 或 风 页 请 求 的 查询 字 竺 中 提交 给 Web 服务 器 。 如 果 Web 应 用 程 
de 在 接收 后 将 攻击 者 的 输入 作为 原始 SQL 查询 语句 

一 部 分 , 则 会 改变 程序 原始 的 SQL 查询 逻辑 ,从 而 执行 攻击 者 构造 的 SQL 查询 语句 ， 
ein 4-2 所 示 。 


时 构建 特殊 数据 库 查 询 语句 国 动态 查询 数据 库 _ 


攻击 者 一 思 。~、 获 得 数据 库 信息 ee -过 回 数据 库 信息 “人 
> 0 
Se ey, 
5 Ce .| pr 
6 入 侵 和 破 二 
LG=== = 修改 数据 


图 4-2 SQL 注入 攻击 示意 图 


SQL 注入 攻击 具有 如 下 特点 : 

(1) 普遍 性 。SQL 注入 攻击 利用 了 SQL 语法 ,只 要 Web 应 用 程序 对 输入 的 SQL 语 
法 未 做 安全 检查 和 过 滤 处 理 , 就 可 能 存在 SQL 注入 漏洞 。 在 基于 三 层 架 构 的 Web 应 用 
系统 中 ,使 用 SQL 语言 的 数据 库 非 常 普遍 , 即 它们 都 可 能 存在 SQL 注入 漏洞 ,受到 SQL 
注入 攻击 的 威胁 。 

(2) 隐 项 性 。SQL 注入 攻击 通过 用 户 输入 来 构造 新 的 SQL 语句 ,以 获取 信息 和 对 
Web 服务 器 进行 非法 操作 的 权限 ,因此 其 操作 与 正常 的 Web 网 页 访问 没有 区 别 , 非 常 隐 
蔽 ,一 般 的 防火 墙 等 防护 设施 不 会 对 它 进行 拦截 或 发 出 警告 。 

(3) 简单 性 。SQL 注入 攻击 方法 比较 简单 ,易学 易 用 ,攻击 者 不 必 具 备 太 多 的 SQL 
注入 攻击 的 知识 和 技术 ,只 要 从 互联 网 下 载 一 些 SQL 注入 软件 工具 ,这 些 工具 基本 都 是 
图 形 化 界面 ,使 用 这 些 工具 即 可 轻易 地 对 存在 SQL 注入 漏洞 的 Web 网 站 进行 攻击 。 
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(4) 危害 性 。SQL 注入 漏洞 的 危害 性 是 显而易见 的 ,如 果 一 个 Web 应 用 系统 遭受 
SQL 注入 攻击 , 轻 则 Web 网 站 内 容 被 算 改 ,泄露 敏感 信息 , 重 则 Web 服务 器 被 植 人 木马 ， 
被 攻击 者 所 控制 。 


4.2.2 SQL 注入 漏洞 利用 


1. 攻击 流程 

一 般 情况 下 ,SQL 注入 攻击 的 流程 如 下 。 

(1) 探测 SQL 注入 点 。SQL 注入 点 通常 存在 于 含有 参数 的 动态 网 页 中 。 常 见 的 探 
测 方法 是 在 有 参数 传递 的 地 方 输入 参数 ,并 且 添 加 *“”、 永 真 式 and 1=1 或 永 假 式 and 1=2 
等 语句 。 如 果 浏 览 器 返回 错误 信息 , 则 说 明 对 输入 未 做 处 理 ; 如 果 添 加 and 1=1 和 and 
1 一 2 时 浏览 器 返回 的 结果 不 同 , 则 说 明 存在 SQL 注入 点 。 

(2) 判断 数据 库 类 型 。 攻 击 者 根据 不 同 的 数据 库 类 型 采取 不 同 的 攻击 方式 。 

(3) 提升 权限 ,进一步 攻击 。 攻 击 者 在 确定 数据 库 的 相关 信息 并 获取 权限 后 ,就 会 开 
始 攻击 。 例 如 ,攻击 者 可 以 随意 添加 和 修改 管理 员 账号 .修改 网 站 内 容 、 开 放 远 程 终端 服 
务 ,利用 上 传 功能 植 和 人 木马 程序 等 ,并 通过 这 些 手 段 最 终 取 得 对 服务 器 的 控制 。 

图 4-3 展示 了 SQL 注入 攻击 的 流程 。 


查找 -| 含有 传递 参数 的 动态 网 页 
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Access -一 是 SQL Server 
厂 一 一 一 一 一 数据库 类 型 ?一 一 一 一 
人 
非 SA 权 限 LN SA 权限 
| 一 
扫描 表 名 、 字 段 名 1 
利用 核心 信息 表 sysobjects 利用 xp_cmdshell 获 取 
得 到 表 名 、 字 段 名 系统 管理 权限 
是 
AScl 码 法 测字 段 值 1 
| 利用 数据 库 报错 方式 获得 字段 值 | 
1 
提升 权限 进一步 攻击 提升 权限 进一步 攻击 




















图 4-3 SQL 注入 攻击 的 流程 


2. 注入 方式 
SQL 注入 攻击 主要 有 以 下 3 种 注入 方式 : 
(1) 利用 用 户 输入 注入 。 攻 击 者 利用 用 户 输入 来 注入 SQL 语句 。 通 过 HTTP 的 
GET 和 POST 请 求 处 理 用 户 输 入 的 Web 应 用 程序 更 容易 受到 SQL 注入 攻击 。Web 应 
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用 程序 使 用 用 户 输入 来 构造 SQL 查询 ,然后 提交 给 数据 库 。 

(2) 利用 Cookies 注入 。Cookies 文件 包含 Web 应 用 程序 生成 的 状态 信息 并 将 其 存 
储 在 客户 端 , 当 客 户 端 再 次 访问 这 个 Web 应 用 程序 时 ,Cookies 会 返回 存储 的 状态 信息 ， 
即 客 户 端 可 以 完全 控制 Cookies 中 存储 的 内 容 。 如 果 一 个 Web 应 用 程序 使 用 Cookies 中 
的 内 容 来 构造 SQL 查询 , 则 攻击 者 可 以 轻易 地 将 恶意 的 SQL 语句 注入 Cookies 中 ,并 提 
交 给 Web 应 用 程序 。 

(3) 利用 系统 变量 注入 。 系 统 变量 包含 了 HTTP、 网 络 Header 和 环境 变量 , Web 应 
用 程序 需要 使 用 这 些 变量 。 


3. 攻击 方式 

SQL 注入 攻击 方式 有 很 多 种 ,但 本 质 上 都 是 由 SQL 语言 的 属性 来 决定 的 。 

(1) 重 言 式 攻击 。 这 是 黑客 常用 的 实现 SQL 注入 攻击 的 技术 之 一 。Web 系统 中 采 
用 的 典型 的 用 户 登录 认证 处 理 是 由 用 户 提 供用 户 名 和 口令 ,Web 应 用 程序 利用 用 户 输入 
动态 地 构造 以 下 SQL 查询 语句 : 

Query= "SELECT * FROM account WHERE username = "" 


+ITequest.getParameter ("username")+" ' AND password= 
'"+request .getParameter ("password" ) +"'" 


在 上 述 SQL 查询 语句 的 动态 构造 处 理 过 程 中 , Web 应 用 程序 只 是 利用 拼接 操作 十 
将 等 号 右边 的 4 个 部 分 看 成 无 任何 结果 的 字符 序列 ,将 其 连接 在 一 起 ,形成 一 个 字符 串 。 
此 时 ,假设 黑客 攻击 者 提供 这 样 的 输入 : 在 用 户 名 域 输入 abc, 在 口令 域 输入 


roOR '1 = 1"; 
此 时 ,Web 应 用 程序 拼接 得 到 一 个 其 条 件 表达 式 为 重 言 式 的 SQL 查询 语句 ,如 下 : 
SELECT #* FROM account WHERE Username = 'abc' AND password =' 'OR '1'=' "1' 


上 述 处 理 使 得 数据 库 把 WHERE 后 面 的 句子 解释 为 条 件 语句 ,这 样 就 把 OR 1 二 1 子 
句 包含 了 进去 ,成功 实现 了 重 言 式 的 构造 ,使 得 数据 库 返 回 所 有 用 户 在 数据 库 中 的 记录 。 
攻击 者 还 可 以 利用 重 言 式 攻击 插入 修改 和 破坏 数据 库 表格 的 多 种 查询 命令 ,造成 极其 严 
重 的 后 果 。 

(2) 非法 或 逻辑 错误 查询 攻击 。 该 攻击 的 原理 是 识别 可 攻击 的 参数 .分 析 数 据 库 的 
关系 结构 、 提 取 数 据 等 。 攻 击 者 通过 这 种 攻击 收集 Web 应 用 程序 后 台数 据 库 的 类 型 和 结 
构 等 信息 ,为 实施 其 他 攻击 建立 前 提 条 件 。 攻 击 者 尝试 注入 语句 导致 数据 库 出 现 语法 错 
误 、 类 型 错误 或 者 逻辑 错误 ,语法 错误 可 以 用 来 判别 可 注 和 人 参数 ,类 型 错误 可 以 用 来 推断 
某 一 列 的 数据 类 型 和 提取 数据 ,逻辑 错误 可 能 泄露 表 名 和 列 名 。 利 用 这 些 信息 ,攻击 者 可 
以 实施 进一步 攻击 。 

(3) 联合 (union) 查 询 攻 击 。 该 攻击 的 原理 是 绕 过 身份 验证 机 制 来 提取 数据 。 攻 击 者 
通过 构造 联合 查询 ,将 注入 的 查询 语句 插入 正常 的 SQL 语句 中 ,从 而 获得 希望 得 到 的 信息 。 

(4) 附带 查询 攻击 。 该 攻击 的 原理 是 提取 、 增 加 和 修改 数据 库 中 的 数据 ,实现 拒绝 服 
务 攻击 和 远程 命令 执行 。 在 这 种 攻击 中 ,攻击 者 尝试 在 原 有 的 查询 语句 中 加 入 新 的 查询 
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语句 ,与 其 他 攻击 类 型 不 同 的 是 , 它 不 改变 原 有 的 查询 语句 ,而 是 在 原来 的 查询 语句 后 面 
“附带 ”查询 语句 。 这 种 攻击 一 般 依赖 于 数据 库 配 置 ,需要 数据 库 配 置 为 支持 在 单个 字符 
串 中 包含 多 个 查询 语句 。 

(5) 利用 存储 过 程 攻 击 。 该 攻击 的 原理 是 扩大 权限 ,实施 服务 器 拒绝 服务 攻击 和 远 
程 命令 执行 。 这 种 攻击 是 通过 执行 数据 库 中 存在 的 存储 过 程 来 达到 目的 。 大 多 数 的 数据 
库 系统 为 了 实现 与 操作 系统 的 交互 ,扩展 数据 库 的 功能 ,都 会 使 用 一 系列 标准 存储 过 程 。 
因此 ,只 要 攻击 者 确定 了 应 用 后 台数 据 库 的 类 型 ,就 可 以 构造 命令 来 执行 数据 库 所 提供 的 
存储 过 程 。 一 些 程 序 员 有 一 种 错误 的 观念 ,以 为 使 用 存储 过 程 可 以 避免 SQL 注入 攻击 。 
事实 上 ,存储 过 程 和 普通 的 程序 一 样 ,都 存在 着 安全 风险 ,并 且 存 储 过 程 一 般 都 是 用 特定 
的 脚本 语言 编写 的 ,因此 它 可 能 包含 其 他 类 型 的 漏洞 ,如 缓冲 区 溢出 漏洞 等 。 

(6) 推断 攻击 。 该 攻击 的 原理 是 识别 可 注入 的 参数 ,提取 数据 ,识别 数据 库 策略 。 这 
种 攻击 针对 数据 库 构造 查询 ,查询 得 到 的 结果 一 般 都 是 真 或 者 假 。 攻 击 者 之 所 以 采用 这 
种 攻击 方法 ,主要 的 原因 是 网 站 管理 员 对 数据 库 进 行 了 安全 设置 ,使 用 非法 或 逻辑 错误 的 
查询 方式 无 法 得 到 数据 库 返 回 的 出 错 信 息 , 也 就 无 法 获得 数据 库 的 相关 信息 。 推 断 攻 击 
方法 有 两 种 : SQL 盲 注入 和 时 间 盲 目 注入 。SQL 盲 注入 是 由 于 网 站 并 不 会 返回 具体 的 
数据 或 信息 ,只 能 通过 对 参数 进行 不 同 输入 得 到 相应 结果 来 判断 此 参数 是 否 可 以 注入 ;时 
间 育 目 注入 是 当 页 面 不 返回 任何 错误 信息 或 者 不 会 输出 联合 查询 注入 所 查 出 来 的 数据 信 
息 时 ,通过 使 用 数据 库 中 可 以 延长 响应 时 间 的 函数 来 进行 信息 获取 。 在 MySQL 中 ,使 用 
BENCHMARKO 〇 或 者 SLEEP() 函 数 重 复 执行 某 一 操作 或 使 执行 操作 睡 眼 一 定时 间 。 
例如 以 下 查询 : 


SELECT BENCHMARK (10000000, ENCODE ('hello', 'goodbye')) 


便 会 因为 执行 大 量 的 编码 操作 而 延缓 返回 的 时 间 ,攻击 者 可 以 在 SQL 请 句 中 添加 条 
件 判 断 ,通过 每 次 请 求 的 时 间 来 判断 结果 。 

(7) 替换 编码 攻击 。 该 攻击 的 原理 是 躲避 编码 安全 性 检测 系统 的 检测 。 一 般 的 编码 
安全 性 检测 系统 都 会 对 已 知 的 恶意 字符 进行 检测 ,如 单 引 号 和 注释 符 等 。 为 了 躲避 这 种 
检测 机 制 , 就 出 现 了 替换 编码 攻击 方式 , 它 经 常 与 其 他 攻击 方式 结合 起 来 使 用 。 


4.2.3 SQL 注入 漏洞 检测 


SQL 注入 漏洞 检测 有 以 下 几 种 方法 : 基于 源 代码 复查 的 静态 检测 方法 ,基于 渗透 测 
试 的 动态 检测 方法 和 基于 文档 对 象 模型 (DOMD) 的 检测 方法 。 

静态 检测 方法 可 有 针对 性 地 对 代码 依赖 关系 进行 分 析 , 对 变量 和 数据 流 进 行 跟踪 ,其 
方法 主要 有 3 种 : 基于 字符 串 的 模式 匹配 法 、 词 法 标记 匹配 法 和 基于 抽象 语法 的 数据 流 
分 析 法 。 源 代码 复查 方法 在 复查 代码 上 具有 和 较 高 的 检查 效率 ,但 缺点 是 误 报 率 和 漏 报 率 
都 比较 高 ,并 且 需 要 有 经 验 的 程序 员 进行 复查 。 

动态 检测 方法 主要 采用 渗透 测试 技术 ,通过 查找 网 页 中 的 注入 点 ,构建 相应 的 测试 用 
例 ,对 Web 应 用 系统 进行 测试 ,通过 分 析 Web 服务 器 的 响应 信息 来 验证 是 否 存在 SQL 
注入 漏洞 。 由 于 动态 检测 方法 限制 条 件 少 ,针对 性 强 , 检 测 准 确 率 高 ,更 适合 对 Web 应 用 
40 


me 第 4 齐 Web 防护 mm 


系统 进行 安全 性 检测 。 

基于 文档 对 象 模 型 (DOMD 的 检测 方法 ,通过 分 析 目 标 网 页 的 DOM, 找 出 向 Web 服 
务 器 提交 数据 的 URL、Form 和 Cookies ,形成 注入 点 列表 。 在 此 基础 上 依次 构建 相应 的 
测试 用 例 ,通过 对 Web 服务 器 响应 数据 进行 特征 匹配 或 差异 化 分 析 , 确 定 是 否 存在 SQL 
注入 漏洞 。 

SQL 注入 漏洞 扫描 分 析 工 具 结构 如 图 4-4 所 示 。 具 体 的 漏洞 扫描 分 析 流 程 如 图 4-5 
所 示 。 
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图 4-4 SQL 注入 漏洞 扫描 分 析 工 具 结构 




















图 4-5 漏洞 扫描 分 析 流 程 
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4.2.4 SQL 注入 漏洞 防范 


SQL 注入 漏洞 防范 主要 采用 两 种 方法 : 一 种 是 增强 Web 应 用 程序 本 身 的 安全 性 ,这 
也 是 最 根本 的 方法 ; 另 一 种 是 增强 Web 应 用 系统 运行 平台 的 安全 性 ,包括 部 署 Web 应 用 
级 防火 墙 、 设 置 数据 库 安全 措施 以 及 其 他 的 防护 措施 等 。 

增强 Web 应 用 程序 本 身 的 安全 性 即 在 设计 Web 应 用 程序 时 充分 考虑 到 如 何 避 免 
SQL 注入 漏洞 问题 ,采用 SQL 参数 化 语句 、 输 入 验证 、 输 出 编码 .规范 化 以 及 避免 SQL 
注入 漏洞 的 程序 设计 等 方法 来 增强 Web 应 用 程序 本 身 的 安全 性 。 


1. SQL 参数 化 语句 

产生 SQL 注入 漏洞 的 根源 是 把 SQL 查询 语句 当 作 普 通 字符 串 提交 给 数据 库 执行 ， 
这 就 是 动态 字符 串 或 动态 SQL 查询 语句 的 创建 问题 。 现 在 的 大 多 数 编程 语言 和 应 用 程 
序数 据 库 访问 接口 都 允许 编程 人 员 通 过 参数 化 语句 ,使 用 占 位 符 或 者 绑 定 的 变量 来 创建 
SQL 查询 语句 ,以 替代 直接 通过 用 户 输入 来 创建 SQL 查询 语句 。 

SQL 参数 化 语句 是 一 种 更 安全 的 动态 查询 创建 方式 ,可 以 避免 一 般 的 SQL 注入 漏 
洞 。 一 般 情况 下 , 它 可 以 用 来 代替 动态 查询 ,由 于 现在 的 数据 库 具有 查询 优化 能 力 , 因 此 
这 种 方法 具有 很 高 的 查询 速度 和 执行 效率 。 

然而 ,使 用 SQL 参数 化 语句 也 存在 向 数据 库 传 递 不 安全 参数 的 可 能 性 。 例 如 ,一 个 
查询 语句 或 者 存储 过 程 的 调用 并 没有 改变 传递 给 数据 库 的 参数 值 内 容 , 因 此 ,如 果 数 据 库 
的 功能 函数 调用 在 存储 过 程 或 者 函数 完成 过 程 中 使 用 了 动态 SQL 查询 语句 ,还 是 有 可 能 
会 发 生 SQL 注入 漏 洞 。 


2. 输入 验证 

输入 验证 就 是 验证 用 户 的 输入 是 否 符合 系统 定义 的 标准 , 它 可 能 简单 到 直接 验证 一 
个 参数 的 类 型 ,也 可 能 复杂 到 使 用 正则 表达 式 或 者 业务 逻辑 去 验证 用 户 输入 。 用 户 输入 
验证 有 两 种 方式 : 白 名 单 验证 和 黑 名 单 验证 。 

(1) 白 名 单 验证 。 建 立 白 名 单 .将 允许 输入 的 类 型 .长度 或 大 小 .数值 范围 以 及 其 他 
格式 标准 等 存 人 白 名 单 。 在 接收 用 户 输入 时 ,首先 通过 白 名 单 验证 用 户 输入 的 合 规 性 ,以 
确定 是 否 接受 用 户 输入 。 如 果 是 白 名 单 允 许 的 输入 , 则 接受 该 输入 ,否则 拒绝 。 在 白 名 单 
验证 中 ,通常 采用 正则 表达 式 进行 比 对 。 然 而 白 名单 存 在 的 问题 是 很 难 覆盖 所 有 复杂 的 、 
各 种 可 能 的 输入 ,因此 ,需要 和 其 他 方法 配合 使 用 ,如 输出 编码 方法 等 。 白 名 单 防范 模型 
如 图 4-6 所 示 。 
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求 加 名 询 | | 应 
































图 4-6 白 名 单 防范 模型 
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(2) 黑 名 单 验 证 。 建 立 黑 名 单 , 将 不 允许 输入 的 字符 ,字符 串 和 模式 等 加 入 黑 名 单 。 
当 接 收 用 户 输入 时 ,首先 通过 黑 名 单 验 证 用 户 输 入 的 非法 性 ,以 确定 是 否 接 收 用 户 输入 。 
黑 名 单 验证 方法 也 使 用 正则 表达 式 ,但 这 种 方法 没有 白 名 单 验 证 效率 高 ,因为 潜在 威胁 的 
字符 数量 庞大 ,使 得 黑 名 单 比较 庞大 ,检测 过 程 比较 慢 。 一 般 情况 下 ,不 会 单独 使 用 黑 名 
单 验证 ,而 是 使 用 白 名 单 验 证 。 在 无 法 使 用 白 名 单 验证 的 情况 下 , 黑 名 单 验证 也 是 一 种 可 
选 的 验证 方式 。 黑 名 单 防范 模型 如 图 4-7 所 示 。 
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4-7 黑 名 单 防范 模型 


3. 输出 编码 

除了 对 用 户 输入 进行 验证 外 ,还 需要 对 程序 各 个 模块 之 间或 者 各 个 部 分 之 间 传 递 的 
数据 进行 编码 。 在 可 能 存在 SQL 注入 漏洞 的 环境 中 ,为 了 保证 传递 给 数据 库 的 数据 不 会 
被 错误 地 处 理 ,需要 对 输出 进行 编码 。 

有 一 种 情况 经 常会 被 忽略 ,就 是 当 编 码 的 信息 来 自 数据 库 , 尤 其 是 使 用 过 的 数据 , 通 
常 不 会 对 这 些 数据 进行 验证 或 者 过 滤 处 理 。 在 这 种 情况 下 ,虽然 不 会 直接 导致 SQL 注入 
漏洞 ,但 还 是 应 当 考 虑 采用 类 似 的 编码 方式 进行 处 理 , 以 防止 产生 其 他 安全 漏洞 ,如 XSS 
攻击 等 。 

4. 规范 化 

输入 验证 和 输出 编码 这 两 种 方法 都 需要 将 数据 转化 成 最 终 用 户 想 要 的 格式 ,在 实际 
应 用 中 存在 一 定 的 难度 。 在 这 种 情况 下 ,可 以 使 用 规范 化 方法 。 所 谓 规范 化 就 是 将 输入 
变 为 规范 格式 或 者 简单 格式 的 过 程 。 常 用 的 规范 化 方法 如 下 。 

(1) 拒绝 所 有 不 符合 规范 格式 的 输入 。 当 输入 中 出 现 不 期 望 的 编码 时 ,拒绝 其 输入 。 
同时 , 当 使 用 白 名 单 验 证 方式 拒绝 普通 格式 的 字符 时 , 它 是 一 种 默认 的 处 理 方法 。 使 用 这 
样 的 方法 至 少 可 以 拒绝 经 过 编码 的 字符 。 

(2) 对 输入 编码 进行 解码 分 析 。 可 采用 两 种 方式 : 一 是 只 要 输入 数据 中 存在 编码 ， 
就 要 进行 一 次 解码 ,判断 解码 后 是 否 还 存在 编码 字符 ,这 样 对 每 一 步 都 要 进行 一 次 判断 ; 
二 是 只 对 输入 进行 一 次 解码 ,只 要 解码 后 的 数据 中 还 存在 编码 字符 就 拒绝 接受 ,这 种 方式 
是 以 假设 输入 都 只 编码 一 次 为 前 提 。 


5. 避免 SQL 注入 漏洞 的 程序 设计 
前 面 几 种 方法 既 可 以 用 于 正在 开发 的 Web 应 用 系统 ,也 可 以 用 于 已 存在 的 Web 应 
用 系统 ,但 是 可 能 需要 对 原来 的 Web 应 用 程序 结构 进行 重新 构造 。 
在 开发 一 个 新 的 Web 应 用 系统 时 ,最 好 采用 安全 的 程序 设计 方法 ,以 避免 或 减轻 
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SQL 注入 漏洞 。 

1) 使 用 存储 过 程 

存储 过 程 是 存储 在 数据 库 中 的 程序 。 根 据 数 据 库 的 不 同 ,存储 过 程 可 以 由 不 同 的 编 
程 语言 来 实现 , 它 对 于 消除 SQL 注入 风险 非常 有 用 。 一 般 的 数据 库 系统 都 可 使 用 存储 过 
程 实现 对 数据 库 访问 控制 的 配置 ,即使 攻击 者 发 现 了 一 个 可 利用 的 SQL 注入 漏洞 ,如 果 
数据 库 访 问 控制 配置 正确 , 则 攻击 者 也 无 法 访问 数据 库 中 的 敏感 信息 。 

由 于 动态 SQL 语句 被 嵌入 在 应 用 程序 或 者 数据 库 中 ,然后 被 传送 到 数据 库 去 执行 ， 
数据 库 中 的 数据 必须 是 可 读 、 可 写 、 可 更 新 的 ,应 用 程序 需要 通过 有 访问 权限 的 数据 库 账 
户 来 访问 数据 库 , 因 此 , 当 出 现 SQL 注入 漏洞 时 ,只 要 攻击 者 得 到 应 用 程序 访问 数据 库 的 
权限 ,就 可 能 访问 到 数据 库 中 的 所 有 数据 。 

使 用 存储 过 程 可 以 避免 上 述 的 风险 ,应 用 程序 对 数据 库 的 所 有 访问 操作 都 要 创建 成 
存储 过 程 。 对 于 数据 库 账户 ,授予 执行 存储 过 程 的 权限 ,但 是 不 授予 直接 操作 数据 库 中 数 
据 的 权限 。 这 样 ,就 可 以 限制 攻击 者 调用 存储 过 程 ,限制 他 们 访问 和 修改 数据 ,从 而 可 以 
阻止 攻击 者 访问 数据 库 的 敏感 数据 。 

2) 使 用 抽象 层 

一 个 基于 三 层 架构 的 Web 应 用 系统 通常 由 表示 层 、 业 务 逻 辑 层 和 数据 层 3 个 层次 组 
成 ,设计 者 需要 将 每 一 层 的 实现 单独 抽象 出 来 ,形成 不 同 的 抽象 层 ,这 些 抽象 层 设 计 对 于 
增强 数据 库 访问 安全 性 是 很 有 效 的 。 

当 应 用 程序 通过 数据 层 来 访问 数据 库 时 ,应 用 程序 不 会 在 数据 层 使 用 动态 SQL 语句 
提供 的 信息 ,SQL 注入 攻击 也 就 不 会 发 生 。 更 有 效 的 方法 是 将 数据 层 与 存储 过 程 结合 i 
来 ,能 够 更 加 有 效 地 消除 SQL 注入 风险 。 使 用 抽象 数据 层 的 另 一 个 好 处 是 ,可 以 使 得 应 
用 程序 的 实现 变 得 更 加 容易 ,因为 所 有 访问 数据 库 的 函数 方法 在 设计 数据 层 时 已 定义 好 ， 
实现 时 只 要 调用 这 些 方法 即 可 。 

3) 处 理 敏 感 数据 

攻击 者 实施 SQL 注入 攻击 的 一 个 主要 目的 是 试图 获取 数据 库 中 有 价值 的 敏感 数据 , 因 
此 需要 对 数据 库 中 的 敏感 数据 进行 有 效 保护 ,包括 如 何 对 数据 库 中 的 敏感 数据 进行 存储 、 访 
问 和 控制 ,以 消除 SQL 注入 漏洞 的 危害 。 例 如 ,对 于 用 户口 令 , 不 要 直接 存 人 数据 库 , 而 是 
采用 Hash 函数 变换 后 再 存 人 数据 库 : 对 于 信用 卡 、 银 行 账号 以 及 其 他 财务 信息 ,应 当 使 用 
加 密 算 法 加 密 后 再 存 和 数据库。 通过 这 样 的 处 理 , 可 以 消除 敏感 数据 被 泄露 的 风险 。 

在 对 Web 应 用 系统 进行 安全 增强 时 ,需要 根据 Web 应 用 系统 的 类 型 .规模 、 结 构 等 
方面 的 情况 综合 考虑 ,选择 适合 的 保护 方法 或 方法 组 合 ,达到 有 效 防范 SQL 注入 漏洞 的 
目的 。 


4.3 跨 站 脚本 攻击 





动态 网 站 允许 用 户 向 Web 应 用 程序 提交 大 量 的 数据 , 且 HTML 语言 允许 将 脚本 语 
言 嵌 入 到 网 页 内 执行 ,因此 任何 允许 用 户 输 入 数据 的 地 方 都 有 可 能 产生 XSS 漏洞 ,任何 
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支持 脚本 的 Web 浏览 器 都 可 能 遭受 到 XSS 攻击 。 

XSS 漏洞 产生 的 主要 原因 有 两 个 : 一 是 由 于 HTML 协议 无 法 区 分 数据 和 代码 , 即 无 
法 明确 指出 用 户 输入 的 非法 数据 ,因此 攻击 者 可 以 将 恶意 代码 注入 HTML 代码 中 ;二 是 
Web 应 用 程序 将 用 户 数 据 发 送 回 浏览 器 时 没有 做 适当 的 转 义 处 理 , 使 得 包含 恶意 脚本 的 
数据 被 放 入 Web 网 页 中 ,在 客户 端 浏览 器 中 执行 ,从 而 引发 XSS 漏洞 。 


4.3.1 XSS 攻击 原理 


跨 站 脚本 (Cross Site Scripting,XSS) 攻 击 是 一 种 针对 客户 端 浏览 器 的 注入 攻击 ,与 
SQL 注入 漏洞 不 同 的 是 ,攻击 者 将 恶意 脚本 注入 到 Web 应 用 程序 中 并 不 是 为 了 攻击 
Web 应 用 程序 本 身 , 而 是 将 Web 应 用 程序 作为 攻击 其 他 网 站 的 中 转 站 , 当 其 他 用 户 访问 
被 注入 恶意 脚本 的 Web 应 用 程序 时 ,恶意 脚本 就 会 被 下 载 到 该 用 户 的 浏览 器 中 并 运行 ， 
被 注入 的 恶意 代码 能 够 在 支持 HTML、JavaScript、Flash、ActiveX、VBScript 等 语言 的 客 
户 端 浏览 器 上 执行 ,造成 主机 上 的 敏感 信息 泄露 .Cookie 被 窃取 配置 被 更 改 等 后 果 。 

攻击 者 实施 XSS 攻击 有 如 下 3 个 前 提 条 件 : 

(1) 用 户 能 够 直接 和 Web 网 站 进行 交互 ,可 向 Web 应 用 程序 提交 脚本 代码 ,并 且 这 
些 脚本 代码 能 够 成 为 Web 网 页 内 容 的 一 部 分 。 

(2) Web 应 用 程序 对 用 户 提交 的 内 容 没 有 做 严格 的 过 滤 和 验证 ,含有 恶意 代码 的 内 
容 可 以 在 客户 端 浏览 器 中 执行 。 

(3) 用 户 浏 览 了 具有 XSS 漏洞 的 网 页 ,并且 浏览 器 支持 脚本 执行 ,可 以 执行 网 页 中 
包含 的 恶意 代码 。 

根据 XSS 漏洞 注入 位 置 和 触发 流程 的 不 同 ,XSS 漏洞 主要 分 为 3 类 ,分 别 是 反射 型 
XSS 漏洞 .存储 型 XSS 漏洞 和 基于 DOM 型 XSS 漏洞 。 


1. 反射 型 XSS 漏洞 

反射 型 XSS 漏洞 也 称 为 非 持 久 型 XSS 漏洞 ,是 目前 最 常见 的 一 种 XSS 漏洞 。 它 经 
常 出 现在 服务 器 直接 使 用 的 客户 端 提供 的 数据 (包括 URL 中 的 数据 .HTTP 协议 头 的 数 
据 和 HTML 表单 中 提交 的 数据 ) 中 ,而且 没有 对 数据 进行 无 害 化 处 理 。 

典型 的 反射 型 XSS 漏洞 攻击 是 攻击 者 将 攻击 代码 存储 在 客户 端 ,而 不 是 存储 在 Web 
服务 器 上 ,攻击 者 将 Web 服务 器 作为 一 个 反射 器 或 中 转 站 ,通过 攻击 代码 的 网 页 发 送 给 
被 攻击 用 户 ,在 用 户 浏 览 器 上 执行 攻击 代码 ,达到 窃取 用 户 的 键盘 记录 、 窍 取 用 户 的 
Cookie 窃取 剪贴 板 内 容 、 算 改 网 页 内 容 等 目的 。 

反射 型 XSS 漏洞 攻击 应 用 场景 如 下 : 用 户 ( 被 攻击 者 ) 正 常 登录 Web 服务 器 ,登录 成 
功 后 将 得 到 一 个 会 话 Cookie; 攻 击 者 将 含有 攻击 脚本 的 恶意 URL 发 送 给 用 户 , 诱 使 用 户 
去 访问 ;用 户 向 Web 服务 器 请 求 攻 击 者 的 URL.Web 服务 器 根据 URL 中 的 参数 将 攻击 
脚本 插入 到 网 页 中 返回 给 用 户 ,并 在 用 户 浏览 器 上 执行 该 网 页 中 包含 的 攻击 脚本 ;攻击 脚 
本 将 用 户 的 Cookie 等 隐私 信息 发 送 给 攻击 者 ,攻击 者 在 得 到 用 户 的 Cookie 信息 后 ,可 以 
利用 这 些 信息 来 劫持 用 户 的 会 话 ,在 用 户 不 知情 的 情况 下 盗 取 用 户 的 敏感 信息 以 及 支付 
信息 等 。 反 射 型 XSS 漏洞 攻击 过 程 如 图 4-8 所 示 。 
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4-8 反射 型 XSS 漏洞 攻击 过 程 


反射 型 XSS 漏洞 攻击 和 钓鱼 攻击 非常 相似 ,都 是 诱 使 用 户 访问 某 个 恶意 的 URL, 从 
而 获取 用 户 敏 感 信息 ,但 两 者 实质 上 是 不 同 的 。 钓 鱼 攻击 是 在 用 户 访问 后 进入 一 个 伪造 
的 网 页 ,该 网 页 和 用 户 想 要 访问 的 Web 应 用 程序 不 在 同一 个 域 中 ,根据 同 源 策略 ,该 钓鱼 
网 页 无 法 直接 获得 用 户 在 另 一 个 域 的 Web 应 用 程序 中 的 Cookie 等 敏感 信息 ,所 以 钓鱼 
网 页 还 需要 诱导 用 户 输入 用 户 名 和 口令 等 信息 ,钓鱼 攻击 才能 成 功 。 而 在 反射 型 XSS 漏 
洞 攻击 中 ,用 户 访问 的 恶意 URL 位 于 原本 想 要 访问 的 Web 应 用 程序 所 在 的 域 中 ,并 不 违 
反 同 源 策略 , 即 可 以 自动 执行 JavaScript 代码 来 窃取 用 户 的 敏感 信息 。 这 些 操 作 不 需要 
用 户 做 进一步 的 配合 ,就 可 以 自动 完成 , 即 当 用 户 访问 了 含有 反射 型 XSS 漏洞 的 URL 
时 ,XSS 漏洞 攻击 已 经 成 功 。 


2. 存储 型 XSS 漏洞 

存储 型 XSS 漏洞 是 指 攻击 的 恶意 脚本 被 存储 在 服务 器 端的 数据 库 或 者 文件 中 ,在 访 
问 服务 时 ,服务 器 读 取 了 存储 的 内 容 后 触发 恶意 脚本 回 显 , 形 成 存储 型 攻击 , 当 访问 正常 
服务 时 则 可 看 到 被 攻击 的 数据 。 

其 实现 原理 如 下 : XSS 恶意 脚本 提交 至 服务 器 端 一 服务 器 端 将 恶意 脚本 存 和 人 数据 
库 一 当 服务 再 次 被 请 求 时 ,服务 器 回 显 被 植 和 人 恶意 脚本 的 数据 给 客户 端 一 客户 端 执行 恶 
意 脚 本 形成 攻击 。 

常见 的 例子 是 在 Web 服务 的 留言 板 中 插入 XSS 恶意 脚本 ,例如 ,向 留言 输入 框 中 添 
加 如 下 代码 : 二 scriptalert("XSS") 二 /script 二 , 则 攻击 者 在 打开 留言 管理 时 弹出 显示 
XSS 的 对 话 框 , 表 明 XSS 漏洞 已 成 功 注 入 。 


3. DOM 型 XSS 漏洞 
DOM 型 XSS 漏洞 又 称 作 本 地 跨 站 脚本 的 漏洞 ,此 类 型 的 漏洞 存在 于 页 面 中 的 客户 
端 脚本 自身 。 当 页 面 中 的 JavaScript 代码 访问 了 URL 请 求 参数 ,并 未 经 编码 便 直接 使 用 
相应 参数 信息 在 自身 所 在 的 页 面 中 输出 某 些 HTML 时 ,就 有 可 能 出 现 此 类 型 的 XSS 
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漏洞 。 
例如 ,下 面 的 代码 在 用 户 访问 某 页 面 时 自动 执行 : 


<script> 
var a=document .URL; 
a=unescape (a); 
document .write(a.substring(a.indexof ("message="'')+8,a.length)); 


</script> 


可 以 看 出 ,上 述 JavaScript 脚本 最 终 将 链接 中 a 的 赋值 显示 在 页 面 中 ,假定 某 用 户 构 
造 的 链接 为 http: //www. xxx. com/edit. asp? a 一 二 script 二 alert('xss) 一 /script 二 , 那 
么 该 页 面 将 弹出 一 个 消息 框 。 

对 于 DOM 型 XSS 漏洞 ,由 于 所 有 的 URL 处 理 方式 对 用 户 都 是 可 见 的 ,攻击 者 可 以 
轻易 发 现 网 页 中 的 DOM 型 XSS 漏洞 并 实施 攻击 。 而 对 于 其 他 两 类 XSS 漏洞 ,用 户 对 
Web 服务 器 所 处 理 的 数据 是 不 可 知 的 ,因此 攻击 者 发 现 XSS 漏洞 要 困难 一 些 。 


4.3.2 XSS 漏洞 利用 


由 于 XSS 攻击 可 以 使 用 多 种 客户 端 语言 来 实现 ,也 可 以 跨越 多 种 操作 系统 平台 , 利 
用 方式 多 样 化 ,并 具有 较 强 的 隐蔽 性 ,用 户 也 难以 发 现 , 因 此 XSS 攻击 近年 的 发 生 频 率 大 
幅 上 升 ,危害 性 也 越 来 越 严 重 。 攻 击 者 利用 XSS 漏洞 窃取 用 户 敏感 信息 、 重 写 Web 网 
页 窃取 用 户 会 话 、 将 用 户 重 定向 到 钓鱼 网 站 等 ,甚至 结合 其 他 手段 进一步 控制 用 户 的 系 
统 。 较 为 常见 的 XSS 漏洞 利用 方式 有 以 下 4 种。 


1. 盗 取 用 户 Cookie 

盗 取 用 户 Cookie 是 一 种 典型 的 XSS 攻击 方式 ,Cookie 中 记录 了 用 户 的 身份 和 会 话 
状态 。 对 于 大 部 分 网 站 ,如 果 攻 击 者 盗 取 了 用 户 Cookie, 就 可 以 冒充 用 户 身份 登录 Web 
应 用 系统 ,达到 支持 会 话 的 目的 。 


2. XSS 钓鱼 

XSS 钓鱼 比 传统 的 钓鱼 攻击 更 加 隐蔽 ,攻击 者 首先 构造 一 个 邮件 ,内 艇 一 个 恶意 的 
URL 链接 ,然后 发 送 给 用 户 , 引 诱 用 户 访问 邮件 中 的 URL 链接 ,使 用 户 进入 一 个 包含 
XSS 攻击 代码 的 网 页 ,攻击 代码 窃取 用 户 的 敏感 信息 发 送 给 攻击 者 。 由 于 在 用 户 访问 链 
接 时 ,在 URL 地 址 栏 中 仍 显示 正常 Web 网 站 的 URL, 即 使 警惕 性 很 高 的 用 户 也 难以 
察觉 。 


3. XSS 蠕虫 
XSS 蠕虫 可 以 自动 繁殖 和 传播 ,攻击 者 还 可 以 在 蠕虫 程序 中 加 入 不 同 的 攻击 功能 以 
达到 不 同 目的 。 一 个 典型 案例 是 有 名 的 XSS 蠕虫 Samy, 它 避 开 了 社交 网 站 MySpace 的 
数据 过 滤 机 制 , 在 互联 网 上 迅速 扩散 ,迫使 MySpace 关闭 了 其 应 用 程序 。 由 于 Samy 在 
个 人 信息 中 添加 了 XSS 代码 ,其 他 用 户 在 访问 该 网 页 时 ,Samy 会 利用 XSS 漏洞 将 该 用 
户 加 为 好 友 。 它 修改 用 户 的 个 人 信息 ,使 其 他 用 户 在 访问 这 些 遭 受 XSS 蠕虫 攻击 的 个 人 
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信息 时 也 会 被 攻击 。XSS 蠕虫 是 危害 范围 最 广 的 XSS 攻击 ,严重 威胁 了 Web 应 用 程序 
的 安全 。 


4. XSS 挂 马 

XSS 挂 马 指 用 户 在 访问 正常 网 页 时 ,网 页 元 素 中 存在 第 三 方 网 页 的 调用 ,或 者 存在 
隐藏 的 调用 。 攻 击 者 利用 浏览 器 漏洞 .在 用 户 计算 机 上 安装 并 运行 木马 或 后 门 程序 ,达到 
窃取 用 户 信息 ,控制 用 户 计算 机 的 目的 。 目 前 XSS 挂 马 是 一 种 比较 流行 的 XSS 攻击 方 
式 , 具 有 很 大 的 危害 性 。 

除了 上 面 介绍 的 4 种 XSS 攻击 方式 之 外 ,利用 XSS 漏洞 还 可 以 实现 更 多 的 攻击 方 
式 , 例 如 监视 键盘 .DDoS 攻击 、 读 取 本 地 文件 ,访问 剪贴 板 扫描 本 地 的 其 他 计算 机 等 。 


4.3.3 XSS 漏洞 检测 


XSS 漏洞 检测 可 以 采用 基于 源 代码 复查 的 静态 检测 方法 和 基于 渗透 测试 的 动态 检 
测 方法 。 由 于 渗透 测试 方法 是 对 实际 的 Web 应 用 系统 进行 测试 和 检测 的 ,更 接近 于 实际 
情况 ,因此 在 XSS 漏洞 检测 中 得 到 了 广泛 的 应 用 。 

下 面 介绍 一 种 基于 渗透 测试 的 XSS 漏洞 检测 方法 ,利用 XSS 漏洞 的 特征 和 形成 机 
理 , 对 Web 应 用 系统 中 可 能 存在 的 XSS 漏洞 进行 检测 。 该 检测 系统 由 两 部 分 组 成 : 检测 
主机 和 被 测 服务 器 ,两 者 通过 网 络 连接 。 在 检测 主机 上 运行 检测 程序 ,对 被 测 服务 器 进行 
检测 ;在 被 测 服务 器 上 运行 Web 服务 器 及 应 用 程序 ,图 4-9 是 XSS 漏洞 检测 系统 模型 。 





| 获取 被 测 网 站 的 网 页 





| 网 页 预 处 理 和 分 类 | 上 
| 按 网 页 类 别提 取 注 入 点 
| 按 注 入 点 构造 测试 用 例 | 
一 一 一 一 一 一 一 Web 应 用 系统 
| 在 注入 点 输入 测试 用 例 


| 分 析 被 测 网 站 响应 信息 


| 


| 判定 XSS 漏洞 





| 报告 检测 结果 

















检测 主机 被 测 服务 器 
图 4-9 XSS 漏洞 检测 系统 模型 


该 方法 主要 有 以 下 的 步骤 : 

(1) Web 网 页 获取 。 采 用 网 络 疏 虫 工具 ,自动 获取 目标 Web 服务 器 上 的 所 有 网 页 ， 
去 除 每 个 网 页 的 广告 .导航 、 重 复 等 干扰 信息 后 存储 在 磁盘 中 ,构成 检测 数据 集 。 

(2) 检测 点 处 理 。 包 括 检测 点 提取 和 检测 点 过 滤 两 个 部 分 。 首 先 分 析 Web 网 页 中 
包含 的 表单 和 可 用 于 向 Web 服务 器 提交 信息 的 URL 等 信息 ,提取 出 检测 点 。 然 后 对 检 
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测 点 进行 去 重 处 理 , 过 滤 掉 不 同 网 页 中 的 相同 检测 点 ,避免 重复 检测 。 

(3) 渗透 测试 。 首 先 按照 渗透 策略 构造 每 个 检测 点 的 攻击 向 量 , 利 用 检测 点 模拟 浏 
览 器 的 提交 过 程 , 向 Web 服务 器 提交 攻击 向 量 。 然 后 对 Web 服务 器 返回 的 响应 网 页 进 
行 分 析 ,确定 相应 的 Web 网 页 中 是 否 存在 XSS 漏洞 。 

其 中 ,Web 网 页 获取 比较 简单 ,使 用 网 络 怜 虫 工具 就 可 以 实现 ,下 面 重 点 介绍 检测 点 
处 理 和 渗透 测试 方法 。 


1. 检测 点 处 理 

1) 检测 点 提取 

检测 点 是 指 客户 端 与 Web 服务 器 交互 的 接口 ,根据 Web 网 页 中 的 标签 ,提取 其 中 的 
表单 信息 和 以 GET 方式 提交 的 URL 信息 。 通 过 这 些 检测 点 ,向 Web 服务 器 提交 攻击 
向 量 ,实施 渗透 测试 。 

检测 点 提取 包括 表单 信息 提取 和 URL 信息 提取 。 

网 页 中 的 表单 主要 负责 数据 采集 功能 ,用 户 可 以 使 用 文本 域 .列表 框 、 复 选 框 等 表单 
元 素 输 入 信息 ,然后 单 击 提交 按钮 进行 提交 。 这 些 表 单 信息 被 发 送 到 Web 服务 器 , Web 
应 用 程序 对 这 些 信息 进行 处 理 , 并 向 用 户 返 回 处 理 结果 。 

2) 检测 点 过 滤 

在 同一 个 Web 服务 器 的 不 同 网 页 中 ,往往 包含 了 大 量 相同 的 检测 点 。 通 过 检测 点 过 
滤 处 理 , 可 以 避免 对 不 同 Web 网 页 中 的 相同 表单 进行 重复 提交 ,有 助 于 提高 检测 效率 。 

检测 点 过 滤 处 理 主 要 过 滤 两 类 检测 点 。 一 是 重复 的 检测 点 ,在 获取 的 所 有 检测 点 中 ， 
重复 检测 点 占 很 大 的 比例 。 例 如 ,很 多 网 站 都 提供 了 站 内 搜索 功能 ,这 类 网 站 的 大 部 分 网 
页 都 会 包含 站 内 搜索 功能 所 对 应 的 表单 。 二 是 不 满足 检测 要 求 的 检测 点 ,如 检测 点 中 没 
有 可 以 提供 文本 注入 的 文本 框 ,这 类 检测 点 是 无 法 向 服务 器 端 提交 攻击 向 量 的 。 


2. 渗透 测试 

对 于 每 个 经 过 处 理 后 的 检测 点 ,依次 实施 渗透 测试 。 渗 透 测试 的 基本 原理 是 : 依据 
渗透 策略 生成 攻击 向 量 ,提交 给 Web 服务 器 ,然后 根据 Web 服务 器 返回 的 网 页 来 判断 相 
应 的 检测 点 是 否 存在 XSS 漏洞 。 

对 于 每 个 检测 点 ,首先 进行 合法 字符 串 测试 ,检测 Web 服务 器 对 合法 字符 串 的 响应 ， 
根据 返回 的 网 页 来 判断 该 检测 点 存在 XSS 漏洞 的 可 能 性 。 对 于 不 可 能 存在 XSS 漏洞 的 
检测 点 ,直接 转 入 下 一 个 检测 点 测试 ;对 于 可 能 存在 XSS 漏洞 的 检测 点 , 则 实施 攻击 向 量 
测试 ,向 检测 点 注入 攻击 向 量 , 根 据 返 回 的 网 页 来 判断 该 检测 点 是 否 存 在 XSS 漏洞 。 渗 
透 测试 流程 如 图 4-10 所 示 。 


4.3.4 XSS 防范 


XSS 漏洞 主要 是 由 HTML 协议 缺陷 和 Web 应 用 程序 设计 缺陷 两 方面 原因 造成 的 。 
前 者 表现 为 HTML 协议 无 法 区 分 数据 和 代码 ,无 法 明确 指出 用 户 输入 的 非法 数据 ,用 户 
可 以 将 非法 数据 放 入 HTML 代码 中 。 后 者 表现 为 Web 应 用 程序 对 输入 和 输出 内 容 未 做 
必要 的 安全 检查 和 处 理 , 结 果 造 成 包含 恶意 脚本 的 数据 被 注入 到 Web 网 页 中 ,在 客户 端 
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图 4-10 ”渗透 测试 流程 


浏览 器 中 执行 。 

XSS 漏洞 与 SQL 注入 漏洞 都 属于 注入 类 漏洞 ,可 以 采用 两 种 方法 来 防范 : 一 种 方法 
是 增强 Web 应 用 程序 本 身 的 安全 性 ; 另 一 种 方法 是 增强 Web 应 用 系统 运行 平台 的 安全 
性 ,包括 部 署 Web 应 用 级 防火 墙 ` 设 置 数据 库 安 全 措施 以 及 其 他 的 防护 措施 等 。 

增强 Web 应 用 程序 本 身 的 安全 性 就 是 在 设计 Web 应 用 程序 时 充分 考虑 到 如 何 避 免 
XSS 漏洞 问题 ,主要 采用 HttpOnly\ 输 入 验证 ,输出 编码 、 规 范 化 等 方法 来 增强 Web 应 用 
程序 本 身 的 安全 性 。 


1. HttpOnly 
HttpOnly 最 早 由 微软 公司 提出 ,并 在 IE 6 中 实现 ,至 今 已 逐渐 成 为 一 种 标准 。 
HttpOnly 防范 的 是 XSS 攻击 后 的 Cookie 劫持 攻击 ,一 个 Cookie 的 使 用 过 程 如 下 : 
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(1) 浏览 器 向 服务 器 发 起 请 求 , 此 时 没有 产生 Cookie。 

(2) 服务 器 返回 时 发 送 Set-Cookie 头 , 向 客户 端 浏览 器 写 和 人 Cookie。 

(3) 在 该 Cookie 到 期 前 ,浏览 器 访问 该 域 下 的 所 有 页 面 时 都 将 发 送 该 Cookie。 

HttpOnly 是 在 第 (2) 步 时 标记 的 ,通过 浏览 器 禁止 页 面 的 JavaScript 访问 带 有 
HttpOnly 属性 的 Cookie 来 防范 XSS 攻击 。 


2. 输入 验证 

在 输入 验证 上 ,也 可 采用 白 名 单 验证 和 黑 名 单 验证 两 种 方式 。 对 于 白 名 单 验 证 ,根据 
白 名 单 对 URL、 查 询 关 键 字 、HTTP 头 、.POST 数据 等 进行 检查 ,只 接受 指定 长 度 范围 内 、 
采用 适当 格式 和 预期 字符 的 输入 ,对 其 他 内 容 的 输入 一 律 过 滤 掉 。 对 于 黑 名 单 验 证 ， 9 
黑 名 单 对 包含 有 XSS 代码 特征 的 内 容 进 行 过 滤 , 如 所、>> script\javascript 等 内 容 。 上 
名 单 验 证 和 黑 名 单 验 证 都 采用 正则 表达 式 进行 检查 和 验证 。 eee 
本 中 所 有 的 非法 字符 ,因为 所 有 的 字符 在 HTML 字符 集 里 都 是 合法 的 ,因此 输入 验证 方 
法 有 一 定 的 局 限 性 。 


3. 输出 编码 

对 所 有 输出 字符 进行 HTML 编码 ,把 包括 HTML 标记 在 内 的 危险 字符 转换 成 无 害 
的 HTML 表示 ,将 用 户 输入 的 HTML 脚本 当成 普通 文字 来 处 理 , 而 不 会 成 为 目标 页 面 
HTML 部 分 执行 的 代码 ,如 字符 串 “ 一 script 二 ”可 以 编码 为 “&lt;script&gt; ”等 ,这 样 浏 
览 器 便 对 它 进行 转 义 和 逐 字 解析 。 然 而 输出 编码 方法 有 可 能 影响 Web 应 用 的 交互 性 , 因 
为 网 页 不 接受 由 用 户 输入 的 任何 HTML 内 容 , 如 博客 和 社交 论坛 里 由 用 户 提 交 的 
HTML 代码 。 


4. 规范 化 

通过 规范 化 ,将 输入 变 为 规范 格式 或 者 简单 格式 ,使 之 只 包含 最 小 的 ,安全 的 Tag。 
具体 包括 : 不 包含 JavaScript; 去 掉 对 远程 内 容 的 引用 ,尤其 是 样式 表 和 JavaSceript; 使 用 
Cookie 时 应 设置 HTTP Only 属性 ;等 等 。 


5. 输入 过 滤 

对 用 户 的 输入 进行 处 理 , 只 允许 输入 合法 的 值 ,其 他 值 一 概 过 滤 掉 。 即 使 某 些 情况 下 
不 能 对 用 户 数 据 进 行 严 格 的 过 滤 , 也 需要 对 标签 进行 转换 。 表 4-2 为 输入 过 滤 方 法 对 用 
户 输入 标签 的 转换 情况 。 

















表 4-2 对 用 户 输入 标签 的 转换 














用 户 输 入 标签 转换 结果 
小 于 号 (<) &lt; 
大 于 号 (>) Bgt; 
连接 符 (&) Bamp; 
双 引 号 (") &quot; 
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续 表 
用 户 输入 标签 转换 结果 
空白 字符 ( ) nbsp; 
ASCII 码 值 大 于 或 等 于 0x80 的 任何 ASCII 码 | &# <<number 之 ,其 中 < number 之 是 字符 的 
字符 ASCII 码 值 
例如 ,用 户 输入 


<script>window.location.href="http://www.example.com";</script> 
在 输入 过 滤 后 ,最 终 存 储 的 会 是 


&lt;script&gt;window.location.href=&quot;http://www. example.com&quot;&lt; 
/scriptggt; 


在 展现 时 浏览 器 会 将 这 些 字符 转换 成 文本 内 容 显示 ,而 不 是 一 段 可 执行 的 代码 。 


4.4 跨 站 请 求 伪 造 攻击 





跨 站 请 求 伪造 (Cross-Site Request Forgery,CSRF) 攻 击 是 一 种 对 网 站 的 恶意 利用 。 
尽管 它 听 起 来 像 跨 站 脚本 (XSS) 攻 击 . 但 它 与 XSS 攻击 非常 不 同 。XSS 攻击 利用 网 站 内 
的 受信 任用 户 ( 受 害 者 ) ;而 CSRF 攻击 通过 伪装 成 来 自 受信 任用 户 的 请 求 来 利用 受信 任 
网 站 ,通过 社会 工程 学 的 手段 (如 通过 电子 邮件 发 送 一 个 链接 ) 来 患 惑 受 害 者 进行 一 些 敏 
感性 的 操作 ,如 修改 密码 ,修改 E-mail、 转账 等 ,而 受害 者 毫 不 知情 。 

CSRF 攻击 的 破坏 力 取决 于 受害 者 的 权限 。 如 果 受 害 者 只 是 普通 的 用 户 , 则 CSRF 
攻击 仅 会 危害 用 户 的 数据 以 及 少数 功能 ;而 如 果 受 害 者 具有 管理 员 权 限 , 则 一 个 成 功 的 
CSRF 攻击 可 以 威胁 到 整个 网 络 的 安全 。 


4.4.1 CSRF 攻击 原理 


CSRF 攻击 原理 及 过 程 如 下 : 

(1) 用 户 打开 浏览 器 ,访问 受信 任 网 站 A ,输入 用 户 名 和 密码 请 求 登录 网 站 A。 

(2) 在 用 户 信息 通过 验证 后 ,网 站 A 产生 Cookie 信息 并 返回 给 浏览 器 ,此 时 用 户 登 
录 网 站 A 成 功 ,可 以 正常 发 送 请 求 到 网 站 A。 

(3) 用 户 未 退出 网 站 A 之 前 ,在 同一 浏览 器 中 ,打开 一 个 Tab 页 访问 危险 网 站 B。 

(4) 网 站 B 接收 到 用 户 请 求 后 ,返回 一 些 攻击 性 代码 ,并 发 出 一 个 请 求 ,要 求 访问 网 
站 A。 

(5) 浏览 器 在 接收 到 这 些 攻击 性 代码 后 ,根据 网 站 B 的 请 求 , 在 用 户 不 知情 的 情况 下 
携带 Cookie 信息 ,向 网 站 A 发 出 请 求 。 网 站 A 并 不 知道 该 请 求 其 实 是 由 网 站 B 发 起 的 ， 
所 以 会 根据 用 户 的 Cookie 信息 以 C 的 权限 处 理 该 请 求 ,导致 来 自 网 站 B 的 恶意 代码 被 
执行 。 

52 


me 第 4 章 Web 防 扩 mm 


CSRF 攻击 的 原理 如 图 4-11 所 示 。 
(1) 浏览 器 登录 受信 任 网 站 A 


CO 通过 验证 ,在 浏览 器 中 。 
ee 产生 Cookie 受信 任 网 站 A 
6) 根据 网 站 B 在 (的 请 求 ， 测 览 大 


带 着 (2) 产 生 的 Cookie 访 问 网 站 A 
一 了 一 (3) 用 户 在 没有 退出 网 站 A 的 情况 


下 访问 危险 网 站 
是 危险 网 站 B 


0 网 站 B 要 求 沪 则 网 站 A， 必 出 ( 政 击 者 ) 


一 























4-11 CSRF 攻击 原理 


了 解 Web 浏览 器 对 于 Cookie 和 HTTP 身份 验证 信息 类 的 会 话 信息 的 处 理 方式 更 
有 利于 分 析 CSRF 攻击 的 原理 。 下 面 的 3 个 因素 是 跨 站 请 求 伪造 攻击 的 必要 条 件 : 

(1) 浏览 器 自动 发 送 标识 用 户 对 话 的 信息 而 无 须 用 户 干 预 , 即 当 浏 览 器 发 送 这 些 身 
份 信息 的 时 候 , 用 户 不 会 察觉 。 假 设 网 站 A 上 有 一 个 Web 应 用 程序 ,受害 用 户 在 该 网 站 
上 通过 了 身份 认证 后 ,就 会 有 Cookie 来 记录 用 户 身 份 信息 。Cookie 的 作用 主要 是 被 网 
站 作为 用 户 会 话 的 标志 , 即 如 果 网 站 收 到 了 带 有 用 户 的 Cookie 的 请 求 , 那 么 它 就 会 把 这 
个 请 求 看 作 是 已 登录 的 用 户 发 来 的 。 通 常 在 浏览 器 收 到 网 站 设置 的 Cookie 之 后 ,每 当 向 
该 网 站 发 送 请 求 的 时 候 , 浏 览 器 都 会 自动 地 将 该 Cookie 连同 请 求 一 起 发 出 。 

(2) 攻击 者 对 Web 应 用 程序 URL 的 了 解 。 如 果 应 用 程序 没有 在 URL 中 使 用 跟 会 
话 有 关 的 信息 ,那么 攻击 者 可 以 通过 代码 分 析 , 或 者 通过 访问 该 应 用 程序 查看 嵌 人 
HTML/JavaScript 中 的 URL 以 及 表单 ,来 了 解 与 应 用 程序 有 关 的 URL、 参 数 和 人 允许 值 。 

(3) 浏览 器 可 以 访问 应 用 程序 的 会 话 管理 信息 。 为 了 提高 Web 应 用 程序 的 便利 性 ， 
浏览 器 存放 各 种 用 来 管理 会 话 的 敏感 信息 ,如 Cookie 或 者 基于 HTTP 的 身份 验证 (如 
HTTP 基本 认证 、 非 基于 表单 的 认证 ) ,并 在 每 次 向 需要 身份 验证 的 应 用 程序 发 送 请 求 时 
自动 撒 带 上 这 些 敏感 信息 。 如 果 Web 应 用 程序 完全 依赖 于 这 类 信息 来 识别 一 个 用 户 会 
话 ,就 为 跨 站 请 求 伪造 攻击 创造 了 条 件 , 因 为 Web 应 用 程序 不 会 判断 这 个 请 求 到 底 是 不 
是 合法 用 户 发 送 的 。 

4.4.2 CSRF 漏洞 利用 

下 面 用 例子 更 详细 说 明 攻击 者 如 何 进行 CSRF 攻击 。 

假设 受害 用 户 A 在 银行 有 一 笔 存款 ,他 向 银行 的 网 站 发 送 请 求 : 

http://bank.example/withdraw?account=Rkamount=1000000&for=R2 

该 请 求 把 用 户 A 1 000 000 元 存款 转 到 用 户 A 的 另外 一 个 账号 下 。 该 请 求 发 送 到 银 
行 网 站 后 ,服务 器 会 先 验证 该 请 求 是 否 来 自 合法 的 会 话 ,并 且 该 会 话 的 用 户 A 已 经 成 功 
登录 。 


攻击 者 B 在 该 银行 也 有 账户 , 且 他 知道 上 文中 用 户 A 可 以 进行 转账 操作 的 URL, 则 
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攻击 者 B 可 以 发 送 一 个 请 求 给 银行 : 
http://bank.example/withdraw?account=A&amount=1000000gfor=B 


但 是 这 个 请 求 来 自 攻击 者 B 而 非 用 户 A, 因 而 攻击 者 B 不 能 通过 安全 认证 ,该 请 求 
不 会 起 作用 。 
攻击 者 B 决 定 使 用 CSREF 攻击 方式 ,他 先 自己 做 一 个 网 站 ,在 网 站 中 放 入 如 下 代码 : 


src="http://bank.example/withdraw? account=R&amount=1000000&for=B" 


并 且 通 过 广告 等 社会 工程 学 手段 诱 使 用 户 A 访问 他 的 网 站 。 当 用 户 A 访问 该 网 站 时 ， 
上 述 URL 就 会 从 用 户 A 的 浏览 器 发 送 到 银行 网 站 , 且 这 个 请 求 会 附带 用 户 A 浏览 器 
中 的 Cookie 一 起 发 送 到 银行 网 站 。 虽 然 大 多 数 情况 下 ,该 请 求 会 失败 ,因为 银行 网 站 
要 求 用 户 A 的 认证 信息 ,但 是 如 果 用 户 A 访问 恶意 网 站 时 刚 访问 他 的 银行 网 站 后 不 
久 ,其 浏览 器 与 银行 网 站 之 间 的 会 话 尚 未 过 期 ,浏览 器 的 Cookie 中 含有 用 户 A 的 认证 
信息 。 这 时 攻击 者 B 的 URL 请 求 就 会 得 到 响应 , 钱 将 从 用 户 A 的 账号 转移 到 攻击 者 
B 的 账号 ,而 用 户 A 毫 不 知情 。 等 用 户 A 发 现 银行 账户 金额 不 对 时 ,即使 他 去 银行 查 
询 日 志 , 他 也 只 能 发 现 确实 有 一 个 来 自 他 本 人 的 合法 请 求 转移 了 资金 ,没有 任何 被 攻 
击 的 痕迹 。 

两 种 常见 的 CSRF 攻击 类 型 如 下 : 

(1) GET 类 型 的 CSRF 攻击 。 

这 种 类 型 的 CSRF 攻击 一 般 是 由 于 程序 员 安 全 意识 不 强 造 成 的 。GET 类 型 的 
CSREF 攻击 非常 简单 ,只 需要 一 个 HTTP 请 求 , 例 如 : 


<img src=http://wooyun.org/csrf?xx=1]1 /> 


在 访问 含有 这 个 img 的 页 面 后 ,就 成 功 地 向 http: //wooyun. org/csrf? xx 一 11 发 出 
了 一 次 HTTP 请 求 。 所 以 ,如 果 将 该 网 址 替换 为 包含 GET 类 型 的 CSRF 攻击 的 地 址 ,就 
能 完成 攻击 了 。 

(2) POST 类 型 的 CSRF 攻击 。 

这 种 类 型 的 CSRF 攻击 危害 没有 GET 类 型 的 大 ,通常 使 用 的 是 一 个 自动 提交 的 表 
单 , 例 如 ， 


<form action=http://wooyun.org/csrf.php method=POST> 
<input type="text" name="xx" Value="11"” /> 
</form> 


<script>document .forms [0] .submit ();</script> 


访问 该 页 面 后 ,表单 会 自动 提交 ,相当 于 模拟 用 户 完成 了 一 次 POST 操作 。 
4.4.3 CSRF 漏洞 检测 


1. 手动 检测 
通常 Web 应 用 程序 中 的 重要 功能 需要 进行 CSRF 漏洞 检测 。 不 同 的 应 用 程序 对 于 
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重要 功能 有 着 不 同 的 标准 ,但 有 些 功能 基本 每 个 Web 应 用 程序 中 都 有 ,例如 修改 用 户 密 
码 .增加 用 户 功能 、 对 重要 实体 (如 合同 、 订 单 等 ) 的 删除 功能 、 对 重要 实体 的 更 新 功能 (如 
银行 转账 ) 等 ,对 于 这 些 重要 功能 ,在 测试 的 时 候 可 以 假定 自己 拥有 两 个 身份 : 攻击 者 (用 
户 A) 和 受害 者 (用 户 B) 。 然 后 按照 下 面 的 步骤 进行 操作 

(1) 用 户 BB 登 录 , 然 后 进行 某 个 重要 功能 的 操作 ,例如 增加 一 个 具有 系统 管理 员 
(administrator) 角 色 的 新 用 户 tester,URL 是 


http://localhost/adduser?username=testergrole=administrator 
(2) 用 户 A 构造 如 下 操作 


< imgsrc=" http://localhost/adduser? username = tester&role = administrator™" 

width="1" height="1" border="0"/> 

(3) 在 用 户 B 登录 后 ,让 用 户 B 单 击 用 户 A 构造 的 URL 链接 。 

(4) 检查 服务 器 是 否 执 行 了 用 户 B 的 请 求 。 如 果 执 行 了 , 则 说 明 检 测 的 重要 功能 存 
在 CSRF 漏洞 。 


2. 半自动 检测 

随 着 对 CSRF 漏洞 研究 的 不 断 深入 ,一些 专门 针对 CSRF 漏洞 进行 检测 的 工具 不 断 
涌现 ,如 CSRFTester、CSRF Request Builder 等 。 

以 CSRFTester 工具 为 例 , 其 测试 原理 如 下 : 使 用 CSRFTester 进行 测试 时 ,首先 需 
要 抓 取 用 户 在 浏览 器 中 访问 过 的 所 有 链接 以 及 所 有 的 表单 等 信息 ,然后 通过 
CSRFTester 修改 相应 的 表单 等 信息 ,重新 提交 ,这 相当 于 一 次 伪造 客户 端 请 求 。 如 果 修 
改 后 的 测试 请 求 成 功 地 被 网 站 服务 器 接受 , 则 说 明 存 在 CSRF 漏洞 。 


4.4.4 CSRF 漏洞 防范 


目前 防御 CSRF 攻击 主要 有 3 种 策略 : 验证 HTTP Referer 字段 ;在 请 求 地 址 中 添 
加 Token 并 验证 ;在 HTTP 头 中 自 定 义 属性 并 验证 。 


1. 验证 HTTP Referer 字段 

通常 情况 下 ,一 个 浏览 器 发 起 HTTP 请 求 的 时 候 , 请 求 中 的 Referer 表示 的 是 请 求 的 
发 起 源 ,因此 可 以 从 HTTP 请 求 包 中 的 Referer 来 判断 请 求 是 从 同 域 下 发 起 的 还 是 跨 站 
发 起 的 。 而 根据 Referer, Web 网 站 也 能 判断 此 次 请 求 是 否 是 同 域 下 发 起 的 并 借 此 来 判 
断 请 求 是 否 是 伪造 的 ,进而 防御 CSRF 攻击 。 

但 是 很 多 时 候 Refere 有 可 能 包含 一 些 敏 感 信 息 , 而 这 些 信息 可 能 会 涉及 用 户 的 一 些 
隐私 。 例 如 Referer 可 能 会 显示 用 户 所 在 内 网 的 某 个 查询 服务 器 ,而 如 果 这 个 服务 器 在 
内 网 比较 重要 ,攻击 者 便 有 可 能 借 此 了 解 到 如 何 访问 内 网 的 查询 服务 器 , 当 攻 击 者 有 条 件 
的 时 候 便 有 可 能 会 对 其 进行 攻击 。 因 此 ,很 多 Web 运 维 人 员 担 心 Referer 可 能 会 将 内 网 
的 一 些 机 密 信 息 泄露 出 去 。 

同时 ,对 于 Referer 的 检测 还 会 受到 浏览 器 漏洞 的 影响 ,一 些 浏览 器 的 漏洞 使 恶意 网 
站 会 去 欺骗 Referer, 尤 其 在 使 用 代理 的 时 候 。 很 多 浏览 器 都 标明 了 允许 对 Referer 进行 
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伪造 。 目 前 很 多 浏览 器 甚至 IE 都 有 这 方面 的 漏洞 ,不 过 这 些 漏 洞 只 能 影响 
XMLHttpRequest, 而 且 仅 限于 伪造 Referer 以 跳 转 到 攻击 者 自己 的 网 站 。 

当 网 站 确定 要 采用 验证 Referer 字段 的 方法 来 防御 CSRF 攻击 时 ,开发 人 员 便 需要 
面临 防御 严格 尺度 的 抉择 问题 。 当 采用 严格 的 Referer 验证 策略 的 时 候 ,网 站 不 仅 需 要 
阻止 Referer 值 不 正常 的 请 求 , 还 需要 阻止 缺少 Referer 值 的 请 求 ,这 样 可 以 防止 一 些 恶 
意 网 站 或 者 攻击 者 主动 隐藏 Referer。 但 是 这 样 也 会 带 来 一 部 分 误杀 的 问题 ,有 一 些 浏览 
器 本 身 的 默认 设置 就 是 不 含有 Referer 的 。 而 如 果 执 行 宽松 的 Referer 验证 策略 ,那么 网 
站 仅 需 要 阻止 Referer 值 不 对 的 验证 请 求 ,而 当 缺 少 Referer 值 的 时 候 就 接受 请 求 , 这 种 
方案 对 于 攻击 者 而 言 依然 很 容易 绕 过 , 想 要 隐藏 Referer 的 值 并 不 困难 。 

在 衡量 采用 Referer 验证 的 防范 尺度 的 同时 ,必须 还 要 确认 Web 网 站 不 存在 存储 型 
的 安全 漏洞 。 如 果 网 站 存在 存储 型 的 安全 漏洞 ,攻击 者 就 可 以 把 攻击 代码 放 在 目标 网 站 
上 ,用 户 受到 诱骗 点 击 目标 网 站 后 , Referer 的 值 就 是 目标 网 站 的 信息 ,这 样 即 使 检查 
Referer 也 会 认为 这 个 请 求 是 合法 的 。 


2. 在 请 求 地 址 中 添加 Token 并 验证 

CSRF 攻击 之 所 以 能 够 成 功 , 是 因为 攻击 者 可 以 伪造 用 户 的 请 求 , 该 请 求 中 所 有 的 用 
户 验证 信息 都 存在 于 Cookie 中 ,因此 攻击 者 可 以 在 不 知道 这 些 验 证 信息 的 情况 下 直接 利 
用 用 户 自己 的 Cookie 来 通过 安全 验证 。 由 此 可 知 ,抵御 CSRF 攻击 的 关键 在 于 : 在 请 求 
中 放 入 攻击 者 所 不 能 伪造 的 信息 ,并 且 该 信息 不 存在 于 Cookie 中 。 鉴 于 此 ,系统 开发 者 
可 以 在 HTTP 请 求 中 以 参数 的 形式 加 入 一 个 随机 产生 的 Token, 并 在 服务 器 端 建立 一 个 
拦截 器 来 验证 这 个 Token, 如 果 请 求 中 没有 Token 或 者 Token 内 容 不 正确 , 则 认为 该 请 
求 可 能 是 CSRF 攻击 而 拒绝 它 。 

3. 在 HTTP 头 中 自 定义 属性 并 验证 

自 定义 属性 的 方法 也 是 使 用 Token 并 进行 验证 ,和 前 一 种 方法 不 同 的 是 ,这 里 并 不 
是 把 Token 以 参数 的 形式 置 于 HTTP 请 求 中 ,而 是 把 它 放 到 HTTP 头 中 自 定 义 的 属性 
里 。 通 过 XMLHttpRequest 这 个 类 ,可 以 一 次 性 给 所 有 该 类 请 求 加 上 csrftoken 这 个 
HTTP 头 属性 ,并 把 Token 值 放 入 其 中 。 这 样 就 解决 了 前 一 种 方法 在 请 求 中 加 入 Token 
的 不 便 , 同 时 ,通过 这 个 类 请 求 的 地 址 不 会 被 记录 到 浏览 器 的 地 址 栏 , 也 不 用 担心 Token 
会 通过 Referer 泄露 给 其 他 网 站 。 


4. 其 他 防范 方案 

CSREF 攻击 危害 非常 大 ,又 很 难以 防范 。 目 前 几 种 防御 策略 虽然 可 以 很 大 程度 上 抵 
御 CSRF 攻击 ,但 并 没有 一 种 完美 的 解决 方案 。 一 些 新 的 方案 正在 研究 之 中 ,例如 对 于 每 
次 请 求 都 使 用 不 同 的 动态 口令 ,把 Referer 和 Token 方案 结合 起 来 ,甚至 尝试 修改 HTTP 
规范 ,但 是 这 些 新 的 方案 尚 不 成 熟 ,要 正式 投入 使 用 并 被 业界 广 为 接 受 还 需 时 日 。 在 这 之 
前 ,只 有 充分 重视 CSRF 攻击 ,根据 系统 的 实际 情况 选择 最 合适 的 策略 ,才能 把 CSRF 攻 
击 的 危害 降 到 最 低 。 
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4.5 恶意 流量 攻击 





恶意 流量 攻击 的 方式 包括 爬虫 和 资 链 。 这 两 种 恶意 攻击 行为 都 会 使 Web 服务 器 产 
生 大 量 人 额外 流量 ,影响 服务 器 性 能 ,并 对 服务 器 安全 造成 威胁 。 


4.5.1 ” 扑 虫 攻击 分 析 


网 络 息 虫 (Web crawler) 是 自动 下 载 网 页 的 计算 机 程序 或 自动 化 脚本 ,是 搜索 引擎 的 
重要 组 成 部 分 。 搜 索引 擎 使 用 网 络 怜 虫 抓 取 Web 网 页 文档、 图 片 音频、 视频 等 资源 , 通 
过 相应 的 索引 技术 组 织 这 些 信 息 ,提供 给 用 户 进行 查询 ,不 断 优化 的 网 络 候 虫 技术 为 高 效 
搜索 用 户 关注 的 特定 领域 与 主题 提供 了 有 力 支 撑 。 此 外 网 络 息 虫 也 为 中 小 网 站 的 推广 提 
供 了 有 效 的 途径 ,网 站 针对 搜索 引擎 疏 虫 的 优化 曾 风靡 一 时 。 


1. 的 虫 原理 

网 络 怜 虫 可 从 广义 与 狭义 两 个 角度 定义 : 从 狭义 角度 看 ,该 软件 程序 采取 标准 
HTTP, 对 万 维 网 信息 空间 的 遍历 依靠 超 链接 与 Web 文档 检索 来 完成 ;从 广义 角度 看 ,网 
络 息 虫 是 对 Web 文档 进行 检索 的 程序 ,依靠 HTTP 就 能 够 实现 。 网 络 怜 虫 这 一 程序 在 
网 页 的 提取 过 程 中 表现 出 极 强 的 功能 ,其 在 引擎 中 具有 网 页 下 载 的 功能 , 且 在 引擎 中 不 可 
缺少 。 其 实现 某 站 点 的 访问 主要 是 依靠 对 站 点 HTML 文档 提出 请 求实 现 的 。 其 实现 
Web 空间 的 遍历 ,在 各 站 点 间 移 动 , 完 成 索引 的 自动 建立 ,同时 将 其 存 至 网 页 数据 库 。 网 
络 疏 虫 一 旦 到 达 某 超 文 本 ,其 信息 搜索 及 超 文 本 URL 地 址 的 获取 主要 是 依靠 HTML 请 
言 标记 结构 实现 的 ,完全 不 依赖 用 户 干预 。 在 搜索 过 程 中 ,网 络 疏 虫 的 搜索 策略 选择 也 是 
按照 一 定 标准 进行 的 。 

传统 网 络 疏 虫 从 一 个 或 若干 个 初始 网 页 的 统一 资源 定位 符 (Universal Resource 
Locator,URL) 开 始 , 在 抓 取 网 页 的 过 程 中 ,不 断 从 当前 页 面 上 抽取 新 的 URL 放 入 队列 ， 
直到 满足 系统 的 一 定 条 件 后 停止 抓 取 。 目 前 网 络 疏 虫 已 发 展 为 涵盖 网 页 数据 抽取 、 机 器 
学 习 、 数 据 挖掘 .语义 理解 等 多 种 方法 的 综合 智能 工具 。 


2. 爬虫 分 类 

网 络 候 虫 按照 系统 结构 和 实现 技术 大 致 可 以 分 为 以 下 几 种 类 型 . 通用 网 络 仆 忠 
(general purpose Web crawler) .聚焦 网 络 息 虫 (focused Web crawler) 、 增 量 式 网 络 疏 虫 
(incremental Web crawler) ,深层 网 络 息 虫 (deep Web crawler)。 实 际 的 网 络 息 虫 系统 通 
常 是 几 种 息 虫 技术 相 结 合 实现 的 。 

1) 通用 网 络 候 虫 

通用 网 络 息 虫 又 称 全 网 息 虫 (scalable Web crawler) , 息 行 对 象 为 整个 Web, 主 要 为 
门户 站 点 搜索 引擎 和 大 型 Web 服务 提供 商 采 集 数据 。 由 于 商业 原因 ,它们 的 技术 细节 很 
少 公布 出 来 。 这 类 网 络 息 忠 的 扑 行 范围 和 页 面 数 量 巨 大 ,对 于 把 行 速度 和 存储 空间 要 求 
较 高 ,对 于 息 行 页 面 的 顺序 要 求 较 低 。 由 于 待 刷新 的 页 面 太 多 ,通用 网 络 息 虫 通常 采用 并 
行 工作 方式 ,但 需要 较 长 时 间 才 能 刷新 一 次 页 面 。 虽然 存在 一 定 缺 陷 ,通用 网 络 息 虫 适用 
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于 为 搜索 引擎 采集 广泛 的 主题 数据 ,有 较 强 的 应 用 价值 。 

典型 的 通用 网 络 息 虫 有 GoogleCrawler 和 Mercator。GoogleCrawler 是 一 个 分 布 式 
的 基于 整个 Web 的 怜 虫 ,采用 异步 1/O 而 不 是 多 线程 来 实现 并 行 化 。 它 有 一 个 专门 的 
URLServer 进程 负责 为 多 个 蛋 虫 节点 维护 URL 队列 。GoogleCrawler 还 使 用 了 许多 算 
法 优化 系统 性 能 ,最 著名 的 就 是 PageRank 算法 。 

通用 网 络 怜 虫 的 结构 大 致 可 以 分 为 页 面 疏 行 模块 、 页 面 分 析 模 块 、 链 接 过 滤 模块 、 页 
面 数据 库 .URL 队列 、 初 始 URL 集 几 部 分 ,其 体系 结构 如 图 4-12 所 示 。 
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图 4-12 通用 网 络 疏 虫 体系 结构 
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为 提高 工作 效率 ,通用 网 络 息 虫 会 采取 一 定 的 候 行 策略 : 

(1) 深度 优先 策略 。 其 基本 方法 是 按照 深度 由 浅 到 深 的 顺序 依次 访问 下 一 级 网 页 链 
接 , 直 到 不 能 再 深入 为 止 。 扑 虫 在 完成 一 个 仆 行 分 支 后 返回 到 上 一 链接 节点 进一步 搜索 
其 他 链接 。 当 所 有 链接 遍历 完 后 , 疏 行 任务 结束 。 这 种 策略 比较 适合 垂直 搜索 或 站 内 搜 
索 , 但 疏 行 页 面 内 容 层 次 较 深 的 站 点 时 会 造成 资源 的 巨大 浪费 。 

(2) 广度 优先 策略 。 此 策略 按照 网 页 内 容 目 录 层 次 深浅 来 爬行 页 面 ,处 于 较 浅 目录 
层次 的 页 面 首 先 被 疏 行 。 当 同一 层次 中 的 页 面 疏 行 完毕 后 , 疏 虫 再 深入 下 一 层 继 续 爬 行 。 
这 种 策略 能 够 有 效 控制 页 面 的 疏 行 深度 ,避免 遇 到 一 个 无 穷 深 层 分 支 时 无 法 结束 爬行 的 
问题 ,实现 方便 ,无 须 存储 大 量 中 间 节 点 。 其 不 足 之 处 在 于 需 较 长 时 间 才 能 的 行 到 目录 层 
次 较 深 的 页 面 。 

2) 聚焦 网 络 候 虫 

聚焦 网 络 息 虫 又 称 主题 网 络 息 虫 (topical crawler) ,是 指 有 选择 性 地 息 行 那些 与 预先 
定义 好 的 主题 相关 页 面 的 网 络 怜 虫 。 和 通用 网 络 怜 虫 相 比 ,聚焦 网 络 怜 虫 只 需要 疏 行 与 
主题 相关 的 页 面 , 极 大 地 节省 了 硬件 和 网 络 资源 .保存 的 页 面 也 由 于 数量 少 而 更 新 快 ,还 
可 以 很 好 地 满足 一 些 特 定 人 群 对 特定 领域 信息 的 需求 。 

和 通用 网 络 怜 虫 相 比 ,聚焦 网 络 怜 虫 增加 了 链接 评价 模块 以 及 内 容 评价 模块 ,其 系统 
结构 如 图 4-13 所 示 。 

聚焦 疏 虫 疏 行 策略 实现 的 关键 是 评价 页 面 内 容 和 链接 的 重要 性 ,不 同 的 方法 计算 出 
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图 4-13 聚焦 网 络 疏 虫 体系 结构 


的 重要 性 不 同 , 由 此 导致 链接 的 访问 顺序 也 不 同 , 常 用 的 聚焦 疏 虫 疏 行 策略 有 以 下 4 种 : 

(1) 基于 内 容 评价 的 疏 行 策略 。DeBra 将 文本 相似 度 的 计算 方法 引入 到 网 络 疏 虫 
中 ,提出 了 FishSearch 算法 , 它 将 用 户 输入 的 查询 词 作为 主题 ,包含 查询 词 的 页 面 被 视 为 
与 主题 相关 ,其 局 限 性 在 于 无 法 评价 页 面 与 主题 相关 度 的 高 低 。Herseovic 对 FishSearch 
算法 进行 了 改进 ,提出 了 Shark-search 算法 ,利用 空间 向 量 模 型 计算 页 面 与 主题 的 相关 度 
大 小 。 

(2) 基于 链接 结构 评价 的 仆 行 策略 。Web 页 面 作为 一 种 半 结 构 化 文档 ,包含 很 多 结 
构 信 息 ,可 用 来 评价 链接 重要 性 。PageRank 算法 最 初 用 于 搜索 引擎 信息 检索 中 对 查询 
结果 进行 排序 ,也 可 用 于 评价 链接 重要 性 ,具体 做 法 就 是 每 次 选择 PageRank 值 较 大 页 面 
中 的 链接 来 访问 。 另 一 个 利用 Web 结构 评价 链接 价值 的 方法 是 HITS 方法 , 它 计 算 每 个 
已 访问 页 面 的 Authority 权重 和 Hub 权重 ,并 以 此 决定 链接 的 访问 顺序 。 

(3) 基于 增强 学 习 的 爬行 策略 。Rennie 和 McCallum 将 增强 学 习 引 入 聚焦 仆 虫 息 行 
策略 中 ,利用 贝 叶 斯 分 类 器 ,根据 整个 网 页 文本 和 链接 文本 对 超 链 接 进 行 分 类 ,为 每 个 链 
接 计 算出 重要 性 ,从 而 决定 链接 的 访问 顺序 。 

(4) 基于 语 境 图 的 爬行 策略 。Diligenti 等 人 提出 通过 建立 语 境 图 (context graph) 学 
习 网 页 之 间 的 相关 度 ,训练 一 个 机 器 学 习 系 统 , 通 过 该 系统 可 计算 当前 页 面 到 相关 Web 
页 面 的 距离 ,距离 越 近 的 页 面 中 的 链接 越 优 先 访问 。 

3) 增 量 式 网 络 仆 虫 

增 量 式 网 络 疏 虫 是 指 对 已 下 载 网 页 采取 增 量 式 更 新 和 只 疏 取 新 产生 的 或 者 已 经 发 生 
变化 的 网 页 的 疏 虫 , 它 能 够 在 一 定 程度 上 保证 所 疏 行 的 页 面 是 尽 可 能 新 的 页 面 。 和 周期 
性 疏 行 和 刷新 页 面 的 网 络 疏 虫 相 比 , 增 量 式 网 络 疏 虫 只 会 在 需要 的 时 候 疏 行 新 产生 的 或 
发 生 更 新 的 页 面 ,并 不 重新 下 载 没 有 发 生变 化 的 页 面 ,可 有 效 减 少数 据 下 载 量 ,及 时 更 新 
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已 息 行 的 网 页 , 减 小 时 间 和 空间 上 的 耗费 ,但 是 增加 了 爬行 算法 的 复杂 度 和 实现 难度 。 
增 量 式 网 络 仆 虫 的 体系 结构 如 图 4-14 所 示 , 它 包含 候 行 模块 排序 模块 、 更 新 模块 、 
本 地 页 面 集 、 待 息 行 URL 集 以 及 本 地 页 面 URL 集 。 
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4-14 增 量 式 网 络 疏 虫 体系 结构 


增 量 式 网 络 疏 虫 有 两 个 目标 : 保持 本 地 页 面 集中 存储 的 页 面 为 最 新 页 面 和 提高 本 地 
页 面 集中 页 面 的 质量 。 为 实现 第 一 个 目标 , 增 量 式 网 络 息 虫 需要 通过 重新 访问 页 面 来 更 
新 本 地 页 面 集中 的 页 面 内 容 , 常 用 的 方法 有 以 下 3 个: 

(1) 统一 更 新 法 : 疏 虫 以 相同 的 频率 访问 所 有 页 面 , 不 考虑 页 面 的 改变 频率 。 

(2) 个 体 更 新 法 : 疏 虫 根据 各 页 面 的 改变 频率 来 重新 访问 各 页 面 。 

(3) 基于 分 类 的 更 新 法 : 疏 虫 根据 页 面 的 改变 频率 将 其 分 为 更 新 较 快 的 页 面子 集 和 
更 新 较 慢 的 页 面子 集 两 类 ,然后 以 不 同 的 频率 访问 这 两 类 页 面 。 

为 实现 第 二 个 目标 , 增 量 式 疏 虫 需要 对 页 面 的 重要 性 进行 排序 ,常用 的 策略 有 广度 优 
先 策略 `PageRank 优先 策略 等 。 

4) 深层 网 络 候 虫 

Web 页 面 按 存在 方式 可 以 分 为 表层 网 页 (surface Web page) 和 深层 网 页 (deep Web 
page, 也 称 invisible Web page 或 hidden Web page) 。 表 层 网 页 是 指 传统 搜索 引擎 可 以 索 
引 的 页 面 , 即 以 超 链 接 可 以 到 达 的 静态 网 页 为 主 构成 的 Web 页 面 。 深 层 网 页 是 那些 大 部 
分 内 容 不 能 通过 静态 链接 获取 的 、 隐 藏 在 搜索 表单 后 的 ,只 有 用 户 提交 一 些 关 键 词 才 能 获 
得 的 Web 页 面 ,例如 用 户 注 册 后 内 容 才 可 见 的 网 页 就 属于 深层 网 页 。2000 年 Bright 
Planet 指出 : 深层 网 页 中 可 访问 信息 容量 是 表层 网 页 的 几 百 倍 , 是 互联 网 上 规模 最 大 、 发 
展 最 快 的 新 型 信息 资源 。 

深层 网 络 疏 虫 体系 结构 如 图 4-15 所 示 , 包 含 6 个 基本 功能 模块 ( 扑 行 控制 器 、 解 析 
器 表单 分 析 器 表单 处 理 器 、 响 应 分 析 器 、LVS 控制 器 ) 和 两 个 疏 虫 内 部 数据 结构 (CURL 
集 和 LVS)。 其 中 LVS(Label Value Set, 标 签 数 值 集 ) 用 来 表示 填充 表单 的 数据 源 。 
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图 4-15 深层 网 络 息 虫 体系 结构 


深层 网 络 息 虫 候 行 过 程 中 最 重要 的 部 分 就 是 表单 填写 ,包含 两 种 类 型 : 

(1) 基于 领域 知识 的 表单 填写 。 此 方法 一 般 会 维持 一 个 本 体 库 , 通 过 语义 分 析 来 选 
取 合 适 的 关键 词 填写 表单 。 有 人 提出 一 种 获取 表单 信息 的 多 注解 方法 ,将 数据 表单 按 语 
义 分 配 到 各 个 组 中 ,对 每 组 从 多 方面 进行 注解 ,结合 各 种 注解 结果 来 预测 一 个 最 终 的 注解 
标签 ;利用 一 个 预定 义 的 领域 本 体 知识 库 来 识别 深层 网 页 内 容 , 同 时 利用 Web 站 点 导航 
模式 来 识别 自动 填写 表单 时 所 需 进 行 的 路 径 导 航 。 

(2) 基于 网 页 结构 分 析 的 表单 填写 。 此 方法 一 般 无 领域 知识 或 仅 有 有 限 的 领域 知 
识 , 将 网 页 表单 表示 成 DOM 树 , 从 中 提取 表单 各 字段 值 。 有 一 种 LEHW 方法 ,该 方法 把 
HTML 网 页 表示 为 DOM 树 形式 ,将 表单 区 分 为 单 属 性 表单 和 多 属性 表单 ,分 别 进行 
处 理 。 

在 HIWE 系统 中 , 息 行 控制 器 负责 管理 整个 爬行 过 程 ,分 析 下 载 的 页 面 ,将 包含 表单 
的 页 面 提交 给 表单 处 理 器 处 理 。 表 单 处 理 器 先 从 页 面 中 提取 表单 ,从 预先 准备 好 的 数据 
集中 选择 数据 自动 填充 并 提交 表单 ,由 息 行 控制 器 下 载 相 应 的 结果 页 面 。 


3. 有 谎 虫 的 危害 

由 于 网 络 息 虫 的 策略 是 尽 可 能 多 地 息 过 网 站 中 的 高 价值 信息 ,根据 特定 策略 尽 可 能 
多 地 访问 页 面 ,因此 会 占用 网 络 带 宽 并 增加 Web 服务 器 的 处 理 开销 。 不 少 小 型 网 站 的 站 
长 发 现 , 当 网 络 仆 虫 光顾 的 时 候 ,访问 流量 将 会 有 明显 的 增长 。 因 此 攻击 者 可 以 利用 息 虫 
程序 对 Web 网 站 发 动 DoS 攻击 ,使 Web 服务 器 在 大 量 爬 虫 程序 的 暴力 访问 下 耗 尽 资源 
而 不 能 提供 正常 服务 。 恶 意 用 户 还 可 能 通过 网 络 怜 虫 抓 取 各 种 敏感 资料 ,用 于 不 正当 
用 途 。 

从 网 站 业务 安全 的 角度 , 仆 虫 可 能 带 来 的 危害 有 以 下 4 点 : 

(1) 核心 文本 被 聆 。 网 站 的 核心 文本 可 能 在 几 分 钟 内 就 被 恶意 爬虫 抓 取 并 悄 无 声息 
地 复制 到 别 的 网 站 。 核 心 内 容 被 复制 会 极 大 地 影响 网 站 和 网 页 本 身 在 搜索 引擎 上 的 排 
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名 ,降低 网 站 在 用 户 心目 中 的 价值 ,导致 网 站 访问 量 、 销 量 、 广 告 收 益 降低 的 恶性 循环 , 若 
网 站 以 文本 为 商品 作为 盈利 点 ,恶意 怜 虫 更 会 极 大 地 影响 KPI (Key Performance 
Indicator， 关 键 绩效 指标 ) 。 

(2) 注册 用 户 被 扫描 。 如 果 在 网 站 的 注册 页 面 输入 一 个 已 注册 过 的 号 码 , 通 常会 看 
到 “该 用 户 已 注册 ”的 提示 ,这 一 信息 也 会 在 请 求 的 response 中 显示 ,一 些 网 站 的 短信 接 
口 也 有 类 似 逻辑 ,注册 用 户 和 非 注册 用 户 返 回 的 字段 和 枚 举 值 会 有 不 同 。 利 用 这 一 业务 
逻辑 ,恶意 爬虫 通过 各 类 社会 工程 学 数据 库 拿 到 一 批 手机 号 后 ,可 在 短 时 间 内 验证 这 批号 
码 是 否 为 某 一 网 站 的 注册 用 户 ,攻击 者 可 以 将 数据 打包 出 售 给 竞争 对 手 或 感 兴趣 的 数据 
营销 公司 ,完善 他 们 的 精准 营销 数据 。 

(3) 点 击 欺诈 。 这 会 给 网 站 造成 实 实 在 在 的 利益 损失 。 投 放 广 告 的 目的 通常 是 为 了 
触 达 符合 网 站 定位 的 潜在 消费 者 。 扑 虫 造成 的 点 击 欺 诈 造 成 广告 的 点 击 率 虚 高 ,使 得 网 
站 承担 了 本 不 应 承担 的 点 击 费 用 。 从 运营 角度 出 发 ,访问 量 无 原因 的 忽 高 忽 低 也 不 利于 
分 析 广 告 投放 效果 。 

(4) 增加 网 站 带宽 负担 。 对 于 带宽 有 限 的 中 小 型 网 站 , 疏 虫 可 能 会 降低 网 页 加 载 速 
度 ,影响 真实 用 户 的 访问 体验 。 


4.5.2 ”爬虫 攻击 防范 


网 络 候 虫 是 一 种 按照 一 定 的 规则 自动 抓 取 万 维 网 信息 的 程序 或 者 脚本 。 网 络 上 有 很 
多 搜索 引擎 (如 百度 、 雅 虎 等 ) 使 用 疏 虫 提供 的 最 新 数据 。 但 如 果 恶 意 使 用 疏 虫 疏 取 大 量 
的 网 站 页 面 , 不 但 占用 网 站 带宽 ,而 且 影响 服务 器 性 能 。 完 善 疏 虫 程序 的 检测 手段 ,提高 
检测 的 准确 率 并 采取 必要 的 技术 手段 保护 网 站 的 安全 ,才能 有 效 解决 下 虫 程序 所 引起 的 
网 络 安全 问题 。 


1. 爬虫 检 测 
网 站 管理 员 可 以 针对 网 络 息 虫 的 行为 特点 ,从 来 访 的 客户 端 程序 中 检测 出 仆 虫 程序 ， 
以 便 采取 某 些 动作 来 限制 其 访问 权限 。 目 前 网 络 息 虫 的 检测 手段 多 种 多 样 , 往 往 需 要 综 
合 利用 ,提高 检测 的 准确 率 。 
1) 检测 HTTP User-Agent 报头 
HTTP 请 求 报头 User-Agent 用 来 标识 请 求 当前 资源 的 客户 端 程序 , Web 服务 器 可 
以 据 此 判定 当前 的 访问 请 求 是 否 来 自 某 个 疏 虫 程序 。 但 是 该 检测 手段 并 不 可 靠 , 恶 意 的 
疏 虫 程序 可 以 通过 伪造 User-Agent 报头 的 方式 来 隐藏 自己 的 真实 身份 。 
2) 检查 HTTP Referer 报头 
HTTP 请 求 报头 Referer 用 来 指明 当前 所 请 求 的 URL 是 从 哪个 页 面 获取 的 。 然 而 
经 研究 发 现 ,许多 爬虫 程序 并 不 会 在 HTTP 请 求 中 使 用 Referer 报头 ,Web 服务 器 可 通 
过 检查 HTTP 请 求 中 是 否 具有 该 报头 来 识别 息 虫 程序 。 但 是 ,这 种 检测 手段 同样 也 不 可 
靠 , 因 为 在 一 些 情况 下 ,例如 ,用 户 使 用 浏览 器 收藏 夹 打 开 链 接 , 在 浏览 器 地 址 栏 直接 输入 
地 址 ,或 者 直接 单 击 E-mail 中 的 链接 ,等 等 ,浏览 器 同样 不 会 发 出 Referer 报头 。 此 外 ， 
Referer 报头 也 很 容易 被 伪造 。 
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3) 检测 客户 端 IP 

网 站 管理 员 可 以 在 Web 服务 器 中 建立 一 个 数据 库 , 记 录 已 知 的 网 络 仆 虫 的 IP 地 址 ， 
以 确定 来 访 的 客户 端 是 否 为 某 个 疏 虫 程序 。 目 前 ,除了 主流 搜索 引擎 怜 虫 的 IP 地 址 相对 
固定 外 , 绝 大 多 数 疏 虫 程序 的 IP 地 址 往往 是 动态 变化 的 ,因而 此 技术 的 漏 检 率 与 误 判 率 
较 高 。 

4) 分 析 访问 内 容 类 型 

许多 网 络 疏 虫 属于 聚焦 息 虫 ,是 在 某 种 意图 下 抓 取 有 特定 价值 的 网 络 资源 ,例如 邮件 
地 址 收集 器 主要 抓 取 htm html 等 页 面 文件 ,而 图 片 收 集 器 则 重点 收集 jpg、png、gif 等 图 
片 文 件 。 因 此 ,利用 Web 日 志 分 析 客 户 端的 URL 请 求 , 有 利于 区 分 出 聚焦 网 络 疏 虫 。 

5) 使 用 robots. txt 文件 

使 用 robots. txt 文件 可 达到 两 种 检测 目的 。 一 是 区 分 人 与 疏 虫 程序 。 由 于 用 户 通 常 
不 会 直接 访问 robots. txt 文件 ,因此 可 通过 Web 日 志 分 析 该 文件 的 访问 情况 来 捕获 疏 虫 
程序 。 二 是 识别 疏 虫 程序 的 好 坏 。 如 果 通 过 Web 日 志 发 现 某 个 客户 端 程序 不 仅 访问 了 
robots. txt ,而 且 疏 行 了 robots. txt 拒绝 访问 的 目录 或 文件 ,那么 该 客户 端 程序 极 可 能 就 
是 恶意 的 ,不 遵守 机 器 人 排除 协议 (Robots Exclusion Protocol) 的 息 虫 程序 。 

6) 使 用 网 页 隐藏 链接 

可 在 网 页 代码 中 加 入 不 会 被 人 看 到 的 隐藏 链接 来 捕获 疏 虫 程序 。 在 网 页 代码 中 设置 
隐藏 链接 的 方法 包括 : 链接 文本 使 用 与 背景 颜色 一 样 的 颜色 ,将 链接 文本 用 图 形 或 者 其 
他 网 页 元 素材 盖 ,使 用 HTML 注释 代码 ,使 用 JavaScript 注释 代码 ,建立 无 链接 文本 的 超 
链接 ,等 等 。 如 果 仅 捕获 那些 不 遵守 机 器 人 排除 协议 的 疏 虫 程序 ,需要 在 robots. txt 中 将 
隐藏 链接 排除 在 外 。 


2. 谎 虫 防范 

1) 使 用 机 器 人 排除 协议 

目前 机 器 人 排除 协议 仍 是 非 强 制 性 的 ,虽然 实际 上 已 被 现在 的 主流 搜索 引擎 接受 ,但 
是 它 在 法 律 上 没有 约束 力 , 是 否 遵 守 此 规定 完全 是 搜索 方 的 自愿 行为 。 男 外 ,robots. txt 
本 身 也 可 能 成 为 恶意 用 户 窥探 网 站 敏感 信息 的 工具 。 

机 器 人 排除 协议 主要 包括 以 下 形式 : 

(1) Robots. txt 文件 。 机 器 人 排除 协议 描述 了 一 个 简单 的 文本 文件 robots. txt ,存放 
在 Web 网 站 根 目 录 中 ,阻止 网 络 疏 虫 访问 网 站 的 某 些 信息 。 当 网 络 疏 虫 访问 某 个 网 站 
时 ,会 首先 访问 网 站 根 目录 中 的 robots. txt, 根 据 该 文件 规定 的 内 容 确 定 搜索 范围 。 

网 站 管理 员 在 建立 好 robots. txt 后 ,可 利用 互联 网 中 的 各 种 robots. txt 验证 工具 来 
检验 文件 的 正确 性 。 要 注意 的 是 ,搜索 引擎 的 聆 虫 程序 总 是 按照 一 定 的 周期 去 抓 取 网 站 ， 
因此 网 站 管理 员 对 robots. txt 所 作 的 修改 不 能 马上 生效 。 如 果 此 前 发 现 网 站 中 的 敏感 网 
页 已 被 某 个 搜索 引擎 收录 ,应 及 时 通知 搜索 引擎 的 管理 员 ,或 者 使 用 搜索 引擎 提供 的 工具 
(如 Google Webmaster Tools、Yahoo! Site Explorer) 将 这 些 网 页 从 索引 数据 库 中 删除 。 

(2) Robots Meta 标签 。 它 作为 机 器 人 排除 协议 的 扩展 内 容 放置 在 HTML 网 页 代 
码 的 二 head 盖 过 /head 一 标签 中 ,指定 怜 虫 程序 访问 该 页 面 时 应 该 遵循 的 规范 。Robots 
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Meta 标签 主要 包括 Name 与 Content 两 个 属性 。Name 属性 描述 网 络 机 器 人 的 名 字 。 
Content 属性 主要 有 4 个 指令 选项 : index、noindex, follow、nofollow。 另 外 Google、 
Yahoo! 等 搜索 引擎 还 支持 一 些 扩展 指令 。 

(3) HTTP X-Robots-Tag 响应 报头 。Google、Yahool! 搜索 引擎 支持 HTTP X- 
Robots-Tag 响应 报头 ,使 Robots Meta 的 功能 也 能 用 于 非 HTML 文档 。 

2) 使 用 自动 内 容 访 问 协议 

ACAP(Automated Content Access Protocol, 自动 内 容 访问 协议 ) 是 由 世界 报 业 协 
会 .国际 出 版 商 协会 和 欧洲 出 版 商 协会 联合 提出 的 一 种 非 强制 性 协议 ,对 现 有 的 robots 
. txt 与 Robots Meta 标签 进行 了 扩展 , 旨 在 进一步 限制 搜索 引擎 的 访问 权限 ,保护 网 络 
作品 的 著作 权 。 目 前 该 协议 还 未 得 到 Google、Yahoo! 等 主流 搜索 引擎 的 认可 。 

3) 加 固 Web 网 站 

网 站 可 采取 各 种 技术 手段 来 巩固 自身 安全 ,具体 措施 如 下 : 

(1) 将 敏感 信息 (例如 账号 密码、 机 密 文件 等 ) 从 公共 的 Web 服务 器 中 移出 ,或 者 采 
用 必要 的 存 取 控 制 技术 加 以 保护 。 

(2) 修改 Web 服务 器 的 默认 配置 ,包括 删除 Web 服务 器 的 联机 手册 与 样本 程序 , 尽 
可 能 关闭 Web 服务 器 的 目录 列表 功能 ,修改 或 删除 Web 服务 器 的 默认 测试 页 面 ,修改 
Web 服务 器 默认 的 错误 信息 ,修改 管理 员 远 程 登录 页 面 的 默认 账号 与 密码 ,等 等 。 

(3) 使 用 Web 表单 .JavaScript 等 客户 端 代码 .Captcha 验证 码 动态 页 面 等 技术 , 实 
现 大 多 数 疏 虫 程序 由 于 技术 限制 不 能 抓 取 的 网 页 ,以 保护 网 站 和 用 户 的 敏感 资料 。 

(4) 使 用 Google、Baidu 等 搜索 引擎 ,或 Nessus、Gooscan、SiteDigger 等 自动 化 工具 
对 网 站 进行 渗透 测试 ;使 用 AWStats 等 日 志 分 析 统 计 工 具 分 析 网 络 息 虫 访问 网 站 的 记 
录 ,确定 网 站 是 否 存 在 信息 泄露 ,以 便 采取 相应 的 措施 ,解决 网 站 存在 的 安全 隐患 。 


4.5.3 盗 链 攻击 分 析 


盗 链 是 指 网 络 服务 提供 者 非法 提供 不 在 自身 的 服务 器 中 的 存储 内 容 的 行为 , 即 , 未 经 
其 他 网 络 服务 提供 者 许可 , 抓 取 其 服务 器 上 的 内 容 并 直接 在 自身 网 站 中 向 最 终 用 户 提供 
其 他 网 络 服务 提供 者 的 服务 内 容 , 从 而 骗取 最 终 用 户 的 浏览 和 点 击 。 常 见 的 盗 链 方 式 有 
图 片 资 链 、 音 频 资 链 、 视 频 资 链 、 文 件 资 链 。 在 资 链 的 过 程 中 ,通常 还 需要 通过 技术 手段 绕 
过 或 破坏 被 盗 链 网 站 对 作品 所 采取 的 技术 措施 ,如 屏蔽 被 盗 链 网 站 的 视频 贴 片 广告 .防止 
用 户 下 载 视频 等 。 

对 被 盗 链 网 站 来 说 ,网 站 经 营 者 投入 了 大 量 的 成 本 ,搭建 服务 器 ,租用 宽带 , 若 盗 链 方 
采用 了 破解 被 盗 链 网 站 视频 端口 密 钥 等 不 正当 的 手段 获取 视频 内 容 , 甚 至 跳 过 原 网 站 广 
告 数据 端口 ,使 盗 链 平台 在 屏蔽 被 盗 链 网 站 利益 页 面 之 后 直接 向 公众 提供 被 盗 链 的 内 容 ， 
将 会 给 被 盗 链 网 站 的 经 营 者 造成 极 大 的 损失 。 此 种 资 链 行为 大 量 消耗 被 盗 链 网 站 的 带 
宽 ,而 真正 计 入 被 资 链 网 站 的 点 击 率 可 能 很 小 ,严重 损害 被 资 链 网 站 的 利益 ;此 外 , 盗 链 平 
人 台 的 屏蔽 视屏 贴 片 广告 的 行为 还 会 给 被 资 链 网 站 的 正常 运营 造成 严重 影响 。 


1. 盗 链 原理 
一 般 , 用 户 要 浏览 的 页 面 并 不 是 一 次 全 部 传送 到 客户 端的 。 如 果 用 户 请 求 的 是 一 个 
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带 有 许多 图 片 和 其 他 信息 的 页 面 ,那么 最 先 的 一 个 HTTP 请 求 被 处 理 后 ,传送 回来 的 是 
这 个 页 面 的 HTML 文本 ,客户 端 浏览 器 对 这 段 文 本 解释 执行 后 ,发 现 其 中 还 有 其 他 文 
件 , 会 再 发 送 一 条 或 者 多 条 HTTP 请 求 , 当 这 些 请 求 被 处 理 后 ,其 他 文件 才 被 传送 到 客户 
端 ,然后 浏览 器 将 这 些 文件 放 到 页 面 的 正确 位 置 。 一 个 完整 的 页 面 要 经 过 发 送 多 条 
HTTP 请 求 才 能 够 被 完整 地 显示 。 基 于 这 样 的 机 制 , 盗 链 就 成 为 可 能 ,服务 提供 商 完 全 
可 以 在 自己 的 页 面 中 嵌入 别人 的 链接 ,显示 在 自己 的 页 面 上 ,以 达到 资 链 的 目的 。 
图 4-16 表示 访问 页 面 的 过 程 。 


(0 请 求 URL { 

(2) 返回 HTML 页 面 文本 | 
客户 端 / HTTP 
浏览 器 | G3) 请 求 HTML 页 面 中 的 各 种 URL | 服务 器 


























(4) 返回 相应 的 文件 





图 4-16 访问 页 面 的 过 程 


根据 盗 链 的 形式 可 以 把 盗 链 分 成 两 类 : 常规 盗 链 和 分 布 式 盗 链 。 

1) 常规 盗 链 

这 种 盗 链 比较 常见 ,具有 一 定 的 针对 性 ,只 盗用 某 个 或 某 些 网 站 的 链接 。 其 技术 含量 
不 高 ,实现 也 比较 简单 ,只 需要 在 自己 的 页 面 嵌 入 别 的 网 站 的 链接 即 可 。 

2) 分 布 式 资 链 

分 布 式 盗 链 是 盗 链 的 新 形式 ,系统 设计 复杂 ,难度 较 大 。 这 种 盗 链 一 般 不 针对 某 一 个 
网 站 ,互联 网 上 任何 一 台 机 器 都 可 能 成 为 盗 链 的 对 象 。 服 务 提 供 商 一 般 会 在 后 台 设 置 专 
门 程序 (spider) 在 Internet 上 抓 取 有 用 的 链接 ,然后 存储 到 自己 的 数据 库 中 。 对 于 最 终 
用 户 的 每 次 访问 ,都 将 其 转化 为 对 已 有 数据 库 的 查询 ,被 查询 到 的 URL 就 是 被 盗 链 的 对 
象 。 由 于 对 文件 的 访问 已 经 被 浏览 器 屏蔽 了 ,所 以 最 终 用 户 感觉 不 到 其 访问 的 链接 是 被 
资 取 的 链接 。 其 原理 如 图 4-17 所 示 。 


(D 请 求 


Web 服 务 器 
(4) URL 










4-17 ”分布 式 资 链 的 原理 
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4.5.4 资 链 攻击 防范 


WAF 通过 实现 URL 级 别 的 访问 控制 ,对 客户 端 请 求 进行 检测 ,如 果 发 现 图 片 文 件 
等 资源 信息 的 HTTP 请 求 来 自 其 他 网 站 , 则 阻止 盗 链 请 求 ,节省 因 次 用 资源 链接 而 消耗 
的 带宽 和 性 能 。 

下 面 介 绍 一 些 常见 的 反 盗 链 技术 。 


1. 不 定期 更 改 文件 或 者 目录 名 称 

不 定期 地 更 改 文 件 或 者 目录 的 名 称 是 最 原始 的 反 盗 链 的 方式 ,可 以 比较 有 效 地 防止 
盗 链 。 这 种 方法 一 般 工 作 量 比较 大 ,但 是 批量 更 名 是 完全 可 以 自动 化 的 ,比较 容易 实现 。 
但 是 在 更 名 过 程 中 , 可 能 会 有 客户 正在 下 载 该 文件 , 这 样 会 导致 正常 的 客户 访问 失败 。 


2. 限制 引用 页 

这 种 防盗 链 技术 的 原理 是 : 服务 器 获取 用 户 提交 信息 的 网 站 地 址 ,然后 和 真正 的 服 
务 器 端的 地 址 相 比 较 , 如 果 一 致 则 表明 是 站 内 提交 , 或 者 为 自己 信任 的 站 点 提交 , 否则 
视 为 盗 链 。 


3. 文件 伪装 

文件 伪装 是 目前 用 得 最 多 的 一 种 反 资 链 技 术 , 一 般 会 结合 服务 器 端 动态 脚本 (PHP、 
JSP、ASP) 实 现 。 文 件 伪装 使 得 用 户 请 求 的 文件 地 址 只 是 一 个 经 过 伪装 的 脚本 文件 , 真 
实 的 文件 隐藏 在 用 户 不 能 够 访问 的 地 方 ,这 个 脚本 文件 通过 检查 Session、Cookie 或 
HTTP Referer 对 用 户 的 请 求 进行 认证 ,判断 是 否 为 盗 链 操作 ,如 果 用 户 通 过 验证 , 则 将 
真实 文件 返回 给 用 户 。 图 4-18 显示 了 一 个 终端 用 户 请 求 文件 a. zip 的 全 过 程 。 


伪装 的 脚本 
文件 







(2) 读 取 a.zip 





HTTP 服 务 器 


(5)(6) 返 回 真实 的 G3) 验证 请 求 


a.zip 或 错误 页 面 







(4) 读 取 真 实 的 
a.zip 或 错误 页 面 


图 4-18 文件 伪装 


4. 加 密 认证 
采用 这 种 反 盗 链 方式 时 , 先 从 客户 端 获取 用 户 信 息 , 然 后 将 这 个 信息 和 用 户 请 求 的 文 
件 名 一 起 加 密 成 字符 串 (Session ID) 进 行 身 份 认证 。 只 有 当 认 证 成 功 以 后 ,服务 器 端 才 会 
把 用 户 需 要 的 文件 传送 给 用 户 。 加 密 的 Session ID 通常 作为 URL 参数 的 一 部 分 传递 给 
服务 器 , 由 于 这 个 Session ID 和 用 户 的 信息 挂钩 ,所 以 攻击 者 就 算是 盗 取 了 链接 ,其 
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Session ID 也 无 法 通过 身份 认证 , 从 而 达到 反 盗 链 的 目的 。 这 种 方式 对 于 分 布 式 盗 链 非 
常 有 效 。 加 密 认 证 过 程 如 图 4-19 所 示 。 


(1) 用 户 相关 数据 
(文件 名 、 下 地 址 等 ) 










| ID 


Session ID 


(@) 这 本 福 们 东 
认证 错误 














图 4-19 加 密 认 证 过 程 


4.6 文件 上 传 与 下 载 攻 击 





现在 大 多 数 的 网 站 都 提供 文件 上 传 .下 载 功 能 ,特别 是 一 些 社交 网 站 或 者 一 些 企业 级 
的 应 用 网 站 ,允许 上 传 头 像 和 共享 文件 等 ,文件 上 传 与 下 载 已 经 成 为 一 个 必 不 可 少 的 功能 
模块 。 但 是 上 传 文件 对 于 Web 应 用 程序 来 说 是 一 个 非常 大 的 威胁 ,因为 很 多 攻击 的 第 一 
步 就 是 把 代码 放 到 Web 服务 器 上 ,然后 通过 其 他 技术 手段 执行 代码 ,而 上 传 文件 可 以 帮 
助攻 击 者 完成 这 一 步 。 近 几 年 ,也 出 现 了 很 多 关于 文件 上 传 和 下 载 的 问题 ,虽然 有 一 部 分 
是 由 于 和 输入 验证 没有 做 好 导致 的 ,但 究 其 原因 ,还 是 访问 控制 和 授权 没有 做 好 。 本 节 将 介 
绍 一 些 常见 问题 及 其 预防 方法 。 


4.6.1 文件 上 传 攻击 原理 


大 部 分 的 网 站 和 应 用 系统 都 提供 文件 上 传 功能 ,有 些 文件 上 传 功能 并 不 严格 限制 用 
户 文件 后 缀 及 文件 类 型 ,导致 攻击 者 向 一 些 可 通过 Web 访问 的 目录 上 传 任意 的 HTML、 
ASP、PHP 等 文件 ,并 能 够 将 这 些 文件 传递 给 相应 的 解析 器 ,攻击 者 即 可 在 远程 服务 器 上 
执行 上 传 的 恶意 脚本 。 

当 系统 存在 文件 上 传 漏洞 时 ,攻击 者 可 以 将 病毒 .木马 .WebShell 及 其 他 恶意 脚本 或 
者 包含 脚本 的 图 片上 传 到 服务 器 ,这 些 文件 将 为 攻击 者 的 后 续 攻 击 提供 便利 。 根据 具 体 
漏洞 的 差异 ,此 处 上 传 的 脚本 可 以 是 后 组 为 php、asp 以 及 jsp 的 脚本 ,也 可 以 是 算 改 后 级 
后 的 这 几 类 脚本 。 

文件 上 传 后 导致 的 常见 安全 问题 如 下 : 

(1) 上 传 的 文件 是 Web 脚本 语言 ,服务 器 的 Web 容器 解释 并 执行 了 用 户 上 传 的 脚 
本 ,导致 代码 执行 。 

(2) 上 传 的 文件 是 Flash 的 策略 文件 crossdomain. xml, 攻 击 者 可 以 用 它 来 控制 
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Flash 在 该 域 下 的 行为 (其 他 控制 策略 文件 的 情况 与 之 类 似 ) 。 

(3) 上 传 的 文件 是 病毒 ,木马 文件 ,主要 用 于 诱骗 用 户 或 者 管理 员 下 载 执行 或 者 直接 
自动 运行 。 

(4) 上 传 的 文件 是 钓鱼 图 片 或 者 包含 脚本 的 图 片 ,在 某 些 版 本 的 浏览 器 中 会 被 作为 
脚本 执行 ,用 于 钓鱼 和 欺诈 。 

(5) 上 传 的 文件 是 WebShell, 攻 击 者 可 通过 这 些 网 页 后 门 执行 命令 并 控制 服务 器 。 

除 此 之 外 ,还 有 一 些 不 常见 的 攻击 方法 。 例 如 ,将 上 传 文件 作为 一 个 人 口 ,使 服务 器 
的 后 台 处 理 程序 溢出 ,如 图 片 解析 模块 。 又 如 ,上 传 一 个 合法 的 文本 文件 ,其 内 容 包含 了 
PHP 脚本 ,再 通过 本 地 文件 包含 (Local File Include) 漏 洞 执行 此 脚本 。 

攻击 者 若 想 完成 文件 上 传 攻击 ,要 满足 以 下 3 个 条 件 : 

(1) 上 传 的 文件 能 够 被 Web 容器 解释 执行 。 即 文件 上 传 后 存储 的 目录 应 是 Web 容 
器 覆盖 到 的 路 径 。 

(2) 用 户 能 够 从 Web 访问 这 个 文件 。 如 果 文 件 上 传 了 ,但 用 户 无 法 通过 Web 访问 ， 
或 者 无 法 得 到 Web 容器 解释 这 个 脚本 ,那么 也 不 能 称 为 上 传 漏洞 。 

(3) 用 户 上 传 的 文件 若 被 安全 检查 格式 化 .图 片 压 缩 等 功能 改变 了 内 容 , 则 也 可 能 
导致 攻击 不 成 功 。 

文件 上 传 漏洞 出 现 的 原因 有 以 下 几 种 : 上 传 可 执行 的 文件 .上 传 文件 并 发 性 控制 不 
当 、 存 储 文件 过 多 导致 性 能 降低 以 及 由 Web 服务 器 自身 缺陷 引起 的 漏洞 。 


1. 上 传 可 执行 的 文件 

上 传 可 执行 文件 主要 是 指 上 传 可 以 在 Web 应 用 服务 器 上 执行 的 文件 ,这 些 文件 的 后 
级 大 多 是 jsp、asp、aspx、asa、hdx、cer、exe、bat 等 ,如 果 上 传 成 功 ,就 可 以 通过 访问 这 些 可 
执行 的 文件 在 Web 应 用 服务 器 上 执行 一 些 攻击 者 想 做 的 操作 。 这 种 攻击 可 能 的 危害 包 
括 : 被 恶意 构造 的 文件 有 可 能 被 利用 来 传播 病毒 .木马 ;文档 有 可 能 包含 攻击 代码 ,保存 
文档 的 服务 器 被 利用 来 作为 攻击 行为 的 一 部 分 : Flash、 PDF 文档 有 可 能 存在 跨 站 问题 ; 
有 些 不 恰当 的 内 容 也 会 给 产品 造成 恶劣 影响 ,例如 ,管理 员 无 意 上 传 一 个 包含 钓鱼 信息 的 
网 页 到 Web 服务 器 的 路 径 下 ,覆盖 了 原来 的 正常 文件 ,如 果 用 户 访问 到 这 个 页 面 , 就 可 能 
遭 到 钓鱼 攻击 。 以 上 任何 一 个 问题 的 发 生 都 会 对 网 站 造成 很 大 的 影响 ,甚至 被 黑客 利用 ， 
通过 木马 或 者 病毒 控制 Web 服务 器 。 

一 些 Web 应 用 程序 在 读 取 文 件 前 ,会 对 提交 的 文件 后 缀 进行 检测 ,攻击 者 可 以 在 文 
件 名 后 放 一 个 空 字 节 的 编码 来 绕 过 这 样 的 文件 类 型 检查 , 据 此 可 以 判断 有 00 上 传 漏洞 的 
存在 。00 上 传 漏洞 就 是 在 文件 名 中 含有 十 六 进 制 00。 例 如 ,test. jsp%00. jpg, 在 上 传 这 
个 文件 时 ,扩展 名 jpg 是 合法 的 ,但 是 在 具体 的 代码 中 ,由 于 %00 被 解析 为 空 字符 ,导致 
扩展 名 jpg 被 丢弃 ,上 传 的 文件 名 就 变 成 了 test. jsp; 而 且 文件 test. jsp 被 上 传 到 Web 服 
务 器 。 如 果 上 传 的 路 径 没 有 设置 为 禁止 执行 ,那么 攻击 者 就 可 以 通过 test. jsp 进行 一 些 
攻击 操作 。 


2. 上 传 文件 并 发 性 控制 不 当 
很 多 网 站 对 于 一 个 用 户 的 登录 次 数 没有 限制 ,也 就 是 说 ,一 个 用 户 可 以 在 多 台 机 器 同 
68 


am 第 4 章 ， Web 防 护 mm 


时 登录 。 这 样 就 存在 一 个 用 户 同时 上 传 多 个 文件 的 问题 。 如 果 一 个 用 户 在 服务 器 上 的 最 
大 可 用 空间 为 100MB ,机 器 A 上 传 一 个 60MB 的 文件 ,同时 机 器 B 也 上 传 一 个 60MB 的 
文件 ,由 于 Web 应 用 程序 大 部 分 是 多 线程 的 ,所 以 在 判断 服务 器 空间 是 否 足够 容纳 上 传 
的 文件 时 ,A、B 上 传 文件 空间 都 是 足够 的 。 随 后 A 和 B 都 同时 开始 上 传 ,这 样 就 导致 可 
上 传 的 文件 超过 了 服务 器 限制 的 最 大 空间 ,通常 用 户 认 为 服务 器 空间 都 有 一 定 的 余地 ,多 
上 传 一 些 也 无 关 紧 要 。 如 果 一 个 用 户 同时 在 10 台 机 器 上 上 传 文件 ,就 大 大 降低 了 服务 器 
的 空间 利用 率 ,而 且 会 影响 其 他 用 户 上 传 文件 的 空间 。 在 极端 情况 下 ,甚至 可 以 利用 这 种 
方式 发 动 DoS 攻击 。 


3. 存储 文件 过 多 导致 性 能 降低 

如 果 用 户 上 传 的 文件 很 多 ,而且 都 保存 在 根 目录 下 ,将 会 导致 访问 文件 的 速度 下 降 ， 
这 就 需要 一 个 很 好 的 文件 管理 策略 。 在 上 传 文件 时 ,做 好 索引 管理 ,可 以 根据 文件 名 的 哈 
希 算法 结果 或 者 base64 编码 结果 , 按 首 字母 建立 子 目录 ,这 样 就 可 以 将 上 传 文件 分 散在 
多 个 子 目录 中 。 如 果 每 一 个 子 目录 中 仍然 有 很 多 文件 ,在 每 一 个 子 目 录 下 ,可 以 取 前 两 个 
字母 ,再 划分 子 目录 。 


4. 由 Web 服务 器 引起 的 漏洞 

上 面 说 的 几 个 问题 是 在 应 用 程序 开发 阶段 能 够 发 现 和 避免 的 ,但 是 有 时 一 些 Web 服 
务 自身 有 问题 ,从 而 导致 一 些 上 传 问题 ,比较 有 名 的 有 Apache 文件 名 解析 漏洞 以 及 IIS 
上 传 漏洞 。 

1) Apache 文件 名 解析 漏洞 

Apache 文件 名 解析 时 从 第 一 个 点 后 面 开始 检查 后 级 , 按 第 一 个 合法 后 级 执行 。 例 
如 ,test. php. rar 本 来 应 该 被 解析 为 rar 文件 ,应 用 程序 也 可 能 判断 为 rar 文件 ,但 是 , 因 
为 Apache 只 解析 php 而 不 解析 后 面 的 rar, 所 以 test. php. rar 会 被 解析 为 test. php, 从 而 
变 得 可 以 执行 。 

2) IIS 上 传 漏洞 

IIS 6.0 目录 名 里 包含 “. asp”, 导 致 其 目录 下 的 任意 文件 均 被 当 作 asp 文件 来 对 待 。 
例如 把 Webshell. gif 保存 到 目录 名 为 test. asp 的 目录 中 ,其 文件 的 存储 路 径 就 表示 为 
test. asp/ Webshell. gif, 在 IIS 6. 0 下 访问 http: //www. example. com/test. asp/ 
Webshell. gif 时 ,Webshell. gif 将 被 当 作 asp 文件 来 解析 。 

对 于 这 样 的 问题 ,在 加 强 程序 自身 逻辑 检查 的 同时 ,也 需要 注意 及 时 跟踪 业内 的 新 
闻 ,发 现 问题 就 及 时 更 新 补丁 或 者 修改 配置 文件 。 


4.6.2 文件 上 传 攻 击 防范 


1. 文件 上 传 漏洞 检测 
可 以 采用 以 下 几 种 方法 防止 文件 上 传 漏洞 的 出 现 。 
(1) 将 文件 上 传 的 目录 设置 为 不 可 执行 。 只 要 Web 容器 无 法 解析 该 目录 下 面 的 文 
件 , 即 使 攻击 者 上 传 了 脚本 文件 ,服务 器 本 身 也 不 会 受到 影响 ,因此 这 一 点 至 关 重 要 。 
(2) 判断 文件 类 型 。 可 以 结合 使 用 MIME Type、 后 组 检查 等 方式 判断 文件 类 型 。 在 
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文件 类 型 判断 中 ,对 于 图 片 的 处 理 , 可 以 使 用 压缩 函数 或 者 resize() 函 数 ,在 处 理 图 片 的 
同时 破坏 图 片 中 可 能 包含 的 HTML 代码 。 

(3) 使 用 随机 数 改 写 文件 名 和 文件 路 径 。 上 传 的 文件 如 果 要 执行 代码 , 则 需要 用 户 
能 够 访问 到 这 个 文件 。 在 某 些 环境 中 ,用 户 能 上 传 文件 ,但 不 能 访问 文件 。 如 果 使 用 随机 
数 改写 文件 名 和 路 径 , 将 极 大 地 增加 攻击 的 成 本 。 像 Webshell. asp 这 类 文件 也 将 因为 重 
命名 而 无 法 实现 攻击 。 


2. 文件 上 传 攻击 防范 方法 

由 于 文件 上 传 漏洞 产生 的 原因 很 多 ,危害 也 很 严重 ,在 实现 的 过 程 中 需要 从 客户 端 和 
服务 器 端 共同 防御 。 

1) 客户 端 

客户 端 应 对 上 传 文件 的 类 型 和 名 字 进 行 判 断 , 限 制 上 传 有 可 能 对 网 站 造成 伤害 的 文 
件 类 型 ,防止 用 户 直 接 上 传 恶意 文件 。 不 过 客户 端 验 证 一 般 并 不 能 保证 安全 ,客户 端 验证 
是 为 了 防止 用 户 输入 错误 ,减少 服务 器 开销 ,服务 器 端 验 证 才 可 以 真正 防御 攻击 者 。 

2) 服务 器 端 

服务 器 端 需 做 好 输入 验证 ,对 文件 的 长 度 和 可 接受 的 大 小 限制 要 设置 在 合理 的 范围 
内 ,对 于 文件 类 型 要 使 用 白 名 单 过滤 ,不 要 使 用 黑 名 单 过 滤 。 在 后 台 最 好 不 要 有 添加 扩展 
名 的 功能 ,以 防 攻 击 者 得 到 管理 员 权限 .可 以 添加 上 传 文件 的 类 型 。 可 以 通过 配置 文件 配 
置 支持 的 文件 类 型 ,这样 也 比较 容易 扩展 。 对 于 00 上 传 漏洞 问题 ,要 确定 %00 这 样 的 
URL 编码 在 何 时 被 解码 ,在 解码 之 后 再 判断 扩展 名 是 否 合法 。 例 如 ,在 JSP 中 ,调用 
request. getParameter( ) 之 后 , URL 编码 的 参数 会 被 解码 ,%00 会 恢复 为 空 字符 ,在 
request. getParameter() 调 用 之 后 青 判 断 参 数 是 否 合 法 就 可 以 避免 00 上 传 漏洞 问题 。 

对 于 一 些 特殊 字符 串 ( 如 .. /) 一 定 要 做 好 过 滤 。 如 果 含 有 不 合法 的 字符 串 ,要 及 时 发 
现 并 且 进 行 异常 处 理 , 不 要 尝试 纠正 错误 ,因为 在 纠 错 的 过 程 中 又 可 能 引入 新 的 问题 ,而 
且 在 这 种 情况 下 ,引入 新 的 漏洞 的 概率 比较 大 。 也 可 以 使 用 应 用 系统 自己 的 命名 规则 而 
不 使 用 用 户 提 供 的 文件 名 。 还 可 以 使 用 文件 的 ID, 再 通过 一 个 映射 关系 匹配 到 用 户 提 供 
的 文件 名 。 

对 于 上 传 的 文件 要 限制 在 固定 的 路 径 下 ,而 且 将 路 径 的 权限 设置 为 只 读 ,以 防 上 传 的 
文件 被 执行 。 需 要 注意 的 是 : 如 果 有 写 的 权限 也 可 能 导致 文件 被 执行 。 


4.6.3 文件 下 载 攻击 原理 


与 文件 上 传 对 应 的 是 文件 下 载 以 及 由 文件 下 载 导 致 的 路 径 遍历 问 题 。 虽 然 下 载 漏洞 
引起 的 危害 没有 上 传 那么 严重 ,但 是 如 果 文 件 下 载 控制 不 好 ,也 会 导致 服务 器 的 很 多 敏感 
信息 甚至 是 产品 的 源 代码 和 配置 信息 被 泄露 。 


1. 浏览 器 嗅 探 问题 
文件 下 载 容易 出 现 的 问题 是 , 当 一 个 用 户 获得 一 个 文件 的 下 载 权 限时 ,他 可 以 通过 修 
改 文件 名 或 者 文件 ID 下 载 别 的 用 户 的 私有 文件 。 例 如 ,访问 一 个 文件 的 URL 可 能 
如 下 : 
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http://www.example.com/? filename=1 

一 般 在 遇 到 这 样 的 URL 时 ,攻击 者 都 会 很 敏感 地 想到 ,如 果 将 URL 为 修改 

http://www.example.com/? filename=2 
结果 会 怎么 样 。 

另外 ,由 于 浏览 器 有 MIME 嗅 探 功能 ,可 根据 嗅 探 到 的 内 容 来 决定 文件 的 类 型 。 在 
嗅 探 内 容 的 时 候 , 各 个 浏览 器 用 不 同 长 度 的 缓冲 区 缓存 嗅 探 到 的 内 容 , 而 且 实现 的 原理 也 
不 一 样 ,不 同 的 浏览 器 的 实现 也 可 能 会 导致 问题 的 发 生 。 部 分 浏览 器 嗅 探 缓冲 区 长 度 如 
表 4-3 所 示 。 

表 4-3 ”部 分 浏览 器 嗅 探 缓冲 区 长 度 











浏 览 器 嗅 探 缓冲 区 大 小 /KB 
Firefox 1 
Safari 1 
Chrome 





在 下 载 的 时 候 , 浏 览 器 会 根据 缓冲 区 的 长 度 嗅 探 文件 的 内 容 , 如 果 嗅 探 的 内 容 中 含有 
和 脚本 代码 一 样 的 文本 内 容 , 可 能 会 将 嗅 探 到 的 文本 内 容 当 作 脚 本 代码 执行 。IE 6.0 就 
存在 这 样 的 问题 ,但 现在 IE 6. 0 已 经 很 少 有 人 用 了 。 只 要 访问 的 Web 页 面 没有 关于 
Content-Type 的 定义 ,所 有 的 浏览 器 都 会 尝试 嗅 探 内 容 ,进而 根据 内 容 判 断 文档 的 类 型 。 
所 以 ,一定 要 设置 Content-Type, 而 且 要 设置 得 正确 。 例 如 ,下 载 的 是 PDF 文件 ,可 以 设 
置 HTTP 头 的 Content-Type 为 


Content-Type:application/pdf 


如 果 没 有 Content-Type; 而 且 浏 览 器 也 没有 根据 嗅 探 的 内 容 分 析出 文件 类 型 ,默认 
按 Text/HTML 格式 处 理 。 


2. 路 径 遍 历 问 题 

在 网 络 上 经 常会 进行 文件 交换 或 者 共享 信息 ,如 果 用 户 只 是 想 共 享 某 个 路 径 下 的 一 
个 或 者 几 个 文件 , 当 系 统 使 用 用 户 提供 的 文件 名 组 成 最 终 的 文件 名 的 一 部 分 或 者 全 部 时 ， 
就 有 可 能 导致 访问 指定 文件 夹 以 外 的 文件 夹 。 攻 击 者 可 以 使 用 多 个 “. . "导致 操作 系统 跳 
到 限制 路 径 以 外 的 路 径 甚至 整个 系统 ,出 现 路 径 遍 历 问题 。 它 可 以 使 攻击 者 突破 应 用 程 
序 的 安全 控制 :泄露 服务 器 的 敏感 数据 ,包括 配置 文件 .日 志 、 源 代码 ,使 得 攻击 者 可 以 很 
容易 地 获得 更 高 权限 的 信息 。 例 如 下 面 这 个 URL: 

http://www.example.com/?filename=/../-../../../../../../../../../../etc/ 

passwd 
访问 这 个 URL 可 能 的 后 果 就 是 下 载 服务 器 系统 的 /etc/passwd 文件 。 由 于 这 个 URL 在 
Web 服务 器 中 会 被 判断 为 不 是 一 个 HTML 或 者 其 他 的 Web 常用 的 文件 扩展 名 ,因此 可 
能 会 被 拒绝 ,那么 可 以 尝试 如 下 : 
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http://waw. example. com/? filename =/.-./../../../../../../../../../../etc/ 
passwd%00.html 


通过 %00. html 欺骗 Web 应 用 程序 ,使 该 文件 被 判断 为 HTML 文件 ,但 是 到 具体 的 后 端 
实现 时 ,%00 会 被 解析 为 空 字符 ,导致 访问 的 还 是 /etc/passwd 文件 。 

有 的 网 站 意识 到 由 “.. ?引起 的 路 径 遍 历 问题 ,于 是 使 用 了 一 种 替代 方案 ,采用 有 具体 的 
ID 来 代替 路 径 名 和 文件 的 访问 方法 。 表 4-4 就 是 一 个 使 用 ID 来 替代 具体 文件 名 的 目录 
结构 。 


表 4-4 使 用 ID 代替 具体 文件 名 的 目录 结构 











一 级 目录 二 盐 : 目 录 
1 11 
2 21 
3 31 





一 级 目录 是 用 户 ID, 用 户 ID 目录 下 面 管理 着 这 个 用 户 的 文件 。 这 看 起 来 非常 好 地 
解决 了 *..” 引 起 的 问题 。 访 问 时 ,URL 会 变 成 如 下 的 形式 : 


http://www.example.com/? filename=1|11 


表示 访问 用 户 1 的 11 文件 或 者 文件 夹 , 从 输入 环节 杜绝 了 *.. ”出 现 和 被 利用 的 可 能 。 不 
过 这 也 很 容易 引起 另 一 个 问题 : 如 果 攻 击 者 知道 别人 的 用 户 ID, 就 可 以 猜测 他 的 文件 的 
存放 路 径 , 然 后 通过 这 个 猜测 的 路 径 尝 试 访问 他 的 文件 。 例 如 ,攻击 者 知道 了 一 个 用 户 
ID 是 2, 于 是 猜测 他 的 第 一 个 文件 或 者 文件 夹 可 能 为 21, 那 么 就 会 得 出 他 的 文件 的 访 
问 URL: 


http://www.example.com/? filename=2|21 


如 果 服 务 器 端 没有 很 好 地 检查 文件 夹 的 所 属 权 ,就 会 导致 路 径 遍历 的 问题 。 但 是 , 攻 
击 者 只 能 在 指定 的 路 径 下 遍历 ,而 不 是 遍历 整个 系统 的 路 径 。 


4.6.4 文件 下 载 攻击 防范 


1. 文件 下 载 漏洞 检测 
文件 下 载 漏洞 检测 主要 有 以 下 两 种 方法 : 可 以 直接 登录 用 户 得 到 访问 文件 或 者 资源 
的 URL, 再 退出 登录 状态 , 换 一 个 浏览 器 后 再 访问 这 个 URL, 看 是 否 可 以 直接 访问 ;也 可 
以 通过 Google、Bing 等 搜索 引擎 查看 网 站 的 敏感 资源 或 者 文件 是 否 被 索引 ,是 否 可 以 被 
第 三 方 访问 。 
关于 路 径 遍历 基本 上 都 使 用 手工 检测 。 在 检测 时 ,首先 检查 请 求 中 是 否 有 文件 相关 
的 请 求 参 数 , 是 否 有 不 同 寻 常 的 文件 扩展 名 .是 否 有 敏感 的 变量 名 。 例 如 ,file、item 变量 
的 值 是 一 个 文件 名 ,可 以 插入 恶意 字符 串 “../../../../etc/passwd” 以 包含 Linux、 
UNIX 系统 密码 散 列 文件 。 显 然 ,这 种 攻击 只 有 在 输入 验证 检查 失败 后 才 可 能 进行 ,而 且 
根据 文件 系统 的 权限 设 定 ,Web 应 用 程序 本 身 必须 能 够 读 取 该 文件 。 为 了 成 功 测试 ,在 
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测试 之 前 可 以 通过 HTTP 头 中 的 Server 域 的 值 判断 所 测试 的 系统 ,例如 针对 IIS Web 服 
务 器 请 求 /etc/passwd 文件 是 毫 无 意义 的 。 如 果 Server 域 的 值 已 经 被 模糊 化 ,可 以 获得 
一 个 页 面 的 访问 地 址 ,然后 修改 这 个 页 面 文件 的 名 字 为 大 写 ( 如 果 已 经 是 大 写 ,可 以 修改 
为 小 写 ) 。 如 果 页 面 不 存在 ,说 明 服务 器 使 用 的 是 UNIX 系列 的 操作 系统 ;如 果 页 面 仍然 
能 够 正常 返回 内 容 , 那 么 服务 器 可 能 是 Windows 操作 系统 ,因为 Windows 操作 系统 对 大 
小 写 不 敏感 。 

知道 了 操作 系统 类 型 之 后 ,下 一 步 就 是 根据 目录 中 的 分 隔 符 构 造 数据 。 每 一 个 操作 
系统 使 用 不 同 的 字符 作为 目录 分 隔 符 。 几 个 操作 系统 的 根 目录 和 目录 分 隔 符 如 表 4-5 
所 示 。 


表 4-5 OS 根 目录 和 目录 分 隔 符 











操作 系统 根 目 录 目录 分 隔 符 
UNIX 系列 / 这 
Windows 所 drive name> : /或 者 \ 
Mac OS <drive name> : 








另外 ,开发 者 通常 犯 的 错误 在 于 没有 想到 使 用 所 有 可 能 的 编码 形式 ,因此 只 验证 了 基 
本 的 内 容 , 却 没有 考虑 到 编码 之 后 的 内 容 。 如 果 第 一 次 测试 字符 串 没 有 成 功 , 尝 试 另 一 种 
编码 方案 就 有 可 能 绕 过 输入 验证 。 典 型 的 URL 和 UTF-8 目录 特殊 字符 编码 如 表 4-6 
所 示 。 
表 4-6 目录 特殊 字符 编码 
原 字 符 串 URL 编码 UTF-8 编码 

















sa %2e% 2e% 2f .。%c0%af 
a %%2e%2e%5c .. Hcl%9e 











根据 系统 选择 具体 的 目录 分 隔 符 , 然 后 ,再 根据 目录 分 隔 符 选择 相应 的 URL 和 
UTF-8 目录 特殊 字符 编码 进行 测试 。 


2. 文件 下 载 攻 击 防范 
文件 下 载 攻击 防范 主要 采用 以 下 几 种 方法 : 
(1) 输入 验证 。 将 不 合法 的 字符 过 滤 掉 ,但 是 ,过 滤 不 是 简单 地 将 ”. . /删除 ,因为 即 
使 删除 特殊 的 字符 ,还 有 可 能 通过 构造 递归 的 内 容 绕 过 过 滤 , 例 如 “../..//”, 删 除 *../” 
之 后 ,结果 还 是 “.. /”, 如 果 再 进行 一 次 删除 操作 ,结果 会 如 何 呢 ? 答案 是 : 还 是 可 以 通过 
进一步 戏 套 来 绕 过 这 种 过 滤 。 最 好 检测 到 有 非法 的 字符 或 者 字符 串 就 抛 出 异常 ,不 要 学 
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试 把 一 个 无 效 的 而 且 可 能 造成 威胁 的 请 求 纠正 为 一 个 有 效 的 、 没 有 威胁 的 请 求 ,这 虽然 有 
可 能 成 功 ,但 受益 很 小 。 判 断 请 求 无 效 后 即 返回 客户 端 一 个 错误 信息 ,做 过 多 处 理 往往 会 
适得其反 。 

(2) 在 程序 验证 参数 的 有 效 性 之 前 , 先 对 输入 的 参数 进行 解码 或 者 规范 化 。 应 确保 
系统 不 会 对 同样 的 参数 解码 两 次 ,否则 攻击 者 可 以 利用 这 个 问题 绕 过 白 名 单 验 证 。 关 于 
路 径 的 规范 化 ,可 以 使 用 语言 内 嵌 的 路 径 规范 化 函数 , 它 通过 有 效 地 移 除 “.. ”和 符号 链 
接 , 可 以 产生 一 个 路 径 名 的 规范 版 本 。 各 个 语言 的 规范 化 函数 接口 如 表 4-7 所 示 。 

表 4-7 各 个 语言 的 规范 化 函数 接口 




















语 言 规范 化 函数 接口 
Cc realpath() 
Java getCanonicalPath() 
ASP. NET GetFullPath 
Perl realpath() 或 者 abs_path() 
PHP realpath() 





(3) 使 用 ID 替换 文件 夹 和 文件 名 ,使 得 整个 输入 由 路 径 名 变 为 一 个 表示 ID 的 字符 
串 ,这 种 方法 很 容易 验证 ID 的 有 效 性 ,进而 可 以 拒绝 其 他 可 能 导致 问题 的 输入 。 不 过 ,每 
次 访问 时 都 需要 确保 只 有 文件 所 有 者 或 者 管理 员 可 以 做 增删 改 操作 ,其 他 的 人 只 能 访问 
被 共享 的 文件 。 

(4) 将 用 户 提 供 的 文件 名 保存 在 数据 库 中 ,只 在 显示 的 时 候 使 用 ;在 文件 系统 创建 的 
时 候 ,使 用 系统 自己 生成 的 一 个 随机 的 名 字 , 这 个 随机 的 名 字 也 保存 在 数据 库 中 ,用 于 匹 
配 用 户 提供 的 原始 文件 名 。 这 样 可 以 有 效 地 避免 文件 上 传 与 下 载 的 问题 ,也 可 以 有 效 地 
解决 在 不 同 的 操作 系统 中 上 传 与 下 载 文件 的 问题 (不 同 的 操作 系统 的 文件 分 隔 符 不 一 样 ， 
在 MAC 系统 中 就 可 以 创建 文件 名 含有 “/” 的 文件 ) 。 


4.7 Web 服务 器 敏感 信息 泄露 





攻击 者 对 Web 服务 器 进行 攻击 的 时 候 , 首 先 通过 各 种 渠道 获取 Web 服务 器 的 各 种 
信息 ,尤其 是 Web 服务 器 的 各 种 敏感 信息 。Web 服务 器 的 敏感 信息 包括 Web 服务 器 的 
名 称 、 操 作 系 统 类 型 .版 本 号 数据库 类 型 以 及 应 用 软件 使 用 的 开源 软件 信息 等 。 一 旦 攻 
击 者 掌握 了 敏感 信息 ,就 会 利用 服务 器 版 本 存在 的 公开 漏洞 进行 专门 攻击 。 例 如 , 若 攻 击 
者 通过 获取 目标 Web 服务 器 敏感 信息 了 解 到 Web 服务 器 所 使 用 的 Tomecat 服务 器 的 版 
本 信息 , 则 攻击 者 可 从 网 上 搜集 该 版 本 的 Tomcat 服务 器 公开 的 漏洞 信息 ,然后 利用 已 知 
的 漏洞 对 Web 服务 器 进行 攻击 。 


4.7.1 敏感 信息 泄露 原理 


Web 服务 器 一 般 是 指 网 站 服务 器 ,网 站 服务 器 中 存储 着 各 种 页 面 文件 ,数据 文件 和 
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应 用 程序 等 供用 户 浏 览 和 下 载 。Web 服务 器 通常 采用 浏览 器 /服务 器 (Browser/Server) 
模式 ,由 用 户 的 客户 端 浏 览 器 向 服务 器 发 起 访问 页 面 的 请 求 。 请 求 通常 采用 HTTP, 该 
协议 采用 的 是 请 求 /响应 模型 ,其 中 响应 信息 包括 响应 行 、 响 应 头 和 响应 体 3 部 分 。 在 响 
应 头 信息 中 ,通常 包含 字段 Server 和 X-Powered-By。Server 指 Web 服务 器 类 型 ,包括 服 
务 器 名 和 版 本 号 ;X-Powered-By 指 程序 支持 , 它 说 明 网 站 是 用 哪 种 语言 或 框架 编写 的 。 
例如 在 搜索 引擎 中 输入 powered by discuz, 即 可 找到 很 多 使 用 discuz 开源 系统 搭建 的 网 
站 。 若 攻击 者 了 解 到 网 站 所 用 语言 或 框架 , 则 可 根据 此 种 开源 框架 的 漏洞 对 网 站 进行 攻 
击 。 图 4-20 显示 了 搜索 powered by discuz 的 结果 。 








powered by discuz 








i 





百度 为 您 找到 相关 结果 约 13,000,000 个 了 搜索 ]] 


Discuzl 官方 站 -PHP 开源 论坛 - Powered by Discuz! 

Discuzl 官方 站 论坛 首页 今日 : 24| 昨 日 : 125| 帖 子 : 16761632| 会 员 : 2942446..Powered by 
Discuzl X3.3 © 2001-2017 Comsenz Inc... 

www discuz neUfor .php > - 百 应 快 昭 - 181 条 评价 


论坛 - Powered by Discuz! 

2017 年 3 月 12 日 - GMT+8, 2017-10-31 00:18, Processed in 0.062298 second(s), 9 queries 
Powered by Discuz! X3.2 © 2001-2013 Comsenz Inc 返回 

bbs opfans org/for .php ~ - 百度 快照 





Discuzl- 插 件 - Discuz! 官方 站 - Powered by Discuz! 
1. 本 版 讨论 Discuzl 的 插件 开发 、 安 装 、 使 用 、 需 求 、 问 是 反馈， 发 布 其 他 无 关 .Powered 














图 4-20 搜索 powered by discuz 结果 


Web 服务 器 泄露 的 敏感 信息 让 攻击 者 的 攻击 时 间 极 大 地 缩短 ,攻击 者 可 以 利用 泄露 
的 服务 器 版 本 信息 直接 查询 利用 对 应 Web 服务 器 的 版 本 漏洞 来 进一步 入 侵 系统 ,从 而 获 
取 后 台 登 录 路 径 ,数据 库 地 址 ,服务 器 部 署 的 绝对 路 径 、IP 地 址 .地址 分 配 规则 和 网 络 拓 
扑 等 信息 。 另 外 ,Web 服务 器 敏感 信息 的 泄露 也 会 招来 其 他 试探 性 的 攻击 者 进行 尝试 攻 
击 ,导致 服务 器 处 于 危险 境地 。 所 以 Web 应 用 防火 墙 需 对 经 过 的 数据 包 进行 检测 防护 ， 
防止 Web 服务 器 敏感 信息 的 泄露 ,具体 防护 方法 在 4. 7. 2 节 简要 描述 。 

通常 响应 信息 并 不 会 直接 显示 ,如 果 想 获取 响应 信息 ,需要 用 抓 包工 具 对 传输 的 数据 
进行 抓 取 。 不 同 抓 包工 具有 各 自 的 优 缺点 ,能 适应 不 同 的 需求 。 例 如 Burp suite 就 是 较 
为 常用 的 一 种 抓 包工 具 。Burp suite 的 工作 方式 是 在 客户 端 和 服务 器 之 间 设置 HTTP 
代理 ,记录 客户 端 和 服务 器 之 间 的 所 有 HTTP 请 ig 
求 , 它 可 以 针对 特定 的 HTTP 请 求 ,分 析 请 求 数 | cache-conot private 


Content-Encoding: gzip 


据 , 设 置 断 点 ,调试 Web 应 用 ,修改 请 求 的 数据 ， Content-Length: 19402 


Content-Type: text/html; charset=utf-8 


甚至 可 以 修改 服务 器 返回 的 数据 ,功能 非常 强大 。 | Beno 下 站 全 各 or 
图 4-21 为 抓 包 得 到 的 响应 头 信息 ,从 中 可 以 


SECCooRKIe openvideoid=555402; path=/ 


看 到 ,目标 Web 服务 器 为 IIS, X-Powered-By 后 Ao nod ng 
的 信息 是 WAF/2.0, 此 处 WAF/2.0 说明 Web 
服务 器 已 经 设置 了 WAF 防火 墙 以 保护 服务 器 敏 4-21 Web 服务 器 响应 头 信息 
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感 信息 ,使 攻击 者 无 法 看 到 网 站 实际 用 的 语言 框架 。 
下 面 是 几 种 常见 的 敏感 信息 泄露 方式 。 


1. Banner 收集 

Banner 收集 是 一 种 常见 的 收集 敏感 信息 的 方式 ,也 称 为 主动 侦察 。 攻 击 者 向 目标 
Web 服务 器 发 送 请 求 , 以 收集 目标 Web 服务 器 更 多 的 信息 。 如 果 Web 服务 器 配置 得 当 ， 
Banner 收集 很 难 涉 及 Web 服务 器 的 敏感 信息 ;但 如 果 Web 服务 器 系统 配置 不 当 , 攻 击 
者 就 能 轻易 获取 Web 服务 器 的 敏感 信息 ,如 Web 服务 器 的 版 本 、PHP 编程 语言 版 本 和 
OpenSSH 版 本 等 。 

如 图 4-22 所 示 ,攻击 者 利用 Nmap 扫描 器 对 目标 Web 服务 器 进行 端口 扫描 ,扫描 
结果 显示 目标 服务 器 开启 了 22 端口 ,OpenSSH 版 本 号 是 5. 9pl1。 得 知 这 些 信息 后 , 攻 
击 者 就 可 以 在 网 上 查找 OpenSSH 5. 9pl 版 本 是 否 存在 安全 漏洞 。 如 果 此 版 本 存在 公 
开 的 漏洞 和 漏洞 利用 的 POC 代码 ,而 且 服 务 器 的 安全 运 维 人 员 还 未 修复 服务 器 的 漏 
洞 ,攻击 者 就 可 以 使 用 这 些 公 开 的 漏洞 和 漏洞 利用 的 POC 代码 对 目标 Web 服务 器 进 
行 攻击 。 





Nmap scan report for example.com (x.x.x.x) 

Host is up (6.637s latency). 

Not shown: 999 filtered ports 

PORT STATE SERVICE VERSION 

22/tcp open ssh OpenSSH 5.9p1 Debian 5ubuntu1.3 (Ubuntu Linux; protocol 2.0) 
Service Info: 0S: Linux; CPE; cpe:/o:linux:linux_kernel 





图 4-22 Web 服务 器 的 Nmap 扫描 结果 


2. 源码 泄露 

当 Web 应 用 程序 的 后 端 环境 代码 暴露 给 不 涉及 应 用 程序 开发 的 用 户 时 ,会 产生 源 代 
码 泄露 问题 。 攻 击 者 可 通过 泄露 的 源 代码 找到 代码 中 的 逻辑 缺陷 或 从 中 分 析出 更 多 漏 
洞 , 如 SQL 注入 漏洞 和 文件 上 传 漏洞 等 。 攻 击 者 还 可 以 查看 源 代码 中 是 否 存在 硬 编码 的 
用 户 名 和 密码 或 者 API 的 密 钥 , 借 助 收集 到 的 用 户 手 机 号 和 姓名 等 隐私 信息 ,入 侵 Web 
服务 器 后 台 获 取 更 高 的 权限 。 

MIME 类 型 不 正确 是 导致 源码 泄露 的 一 种 典型 原因 。 

多 用 途 互联 网 邮件 扩展 类 型 (Multipurpose Internet Mail Extensions, MIME) 是 一 种 
设 定 某 种 扩展 名 的 文件 用 某 种 应 用 程序 来 打开 的 方式 类 型 。 浏 览 器 通过 HTTP 响应 头 
中 的 Content-Type( 内 容 类 型 ,用 于 定义 网 络 文件 的 类 型 和 网 页 的 编码 ) 内 容 来 确定 如 何 
解析 HTTP 服务 器 响应 返回 的 内 容 。 如 果 Web 服务 器 没有 为 包含 源 代码 的 网 页 发 送 适 
当 的 Content-Type 头 部 ,网 页 源 代码 就 可 能 出 现 泄露 问题 。 例 如 , 当 用 户 访问 html 文件 
时 , 若 Conten-Type 的 类 型 是 text/plain 而 不 是 text/html,html 文件 将 会 以 纯 文本 的 形 
式 在 浏览 器 上 展现 , 源 代码 和 其 他 Web 服务 器 的 敏感 信息 都 会 被 显示 在 页 面 上 。 

假设 一 个 Web 服务 器 原来 运行 PHP, 而 现在 运行 ASP. NET。 当 用 户 访问 由 旧 的 
Web 应 用 程序 使 用 的 并 具有 敏感 信息 (如 MySQL 数据 库 凭据 ) 的 PHP 脚本 时 , 若 PHP 
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没有 在 Web 服务 器 上 运行 和 配置 ,Content-Type 将 从 HTTP 响应 中 省 略 , 则 PHP 脚本 
被 解释 为 纯 文本 还 是 HTML 标记 将 具体 取决 于 Web 浏览 器 , 源 代码 中 的 重要 信息 就 可 
能 会 被 泄露 。 

图 4-23 显示 谷歌 Chrome 浏览 器 返回 为 纯 文本 的 情况 ,在 网 页 上 可 直接 看 到 源码 。 





€ 3 © | localhost81/testphp 








<?php 
= 


Creating a SQL connection，with 127-9-9.1 as the host, 
"root”as the username and “password”as the password 
of the database server user credentials. 


*/ 


$con = new mysqli("127.0.0.1", "root", "password"); 
= 


The rest of the PHP script 
*/ 
?> 





4-23 Chrome 浏览 器 返回 的 源码 


3. 处 理 敏 感 信 息 不 当 

有 时 硬 编码 的 用 户 名 、 密 码 以 及 内 部 IP 会 在 代码 注释 中 泄露 ,攻击 者 只 需 右 击 页 面 ， 
在 快捷 菜单 中 选择 “查看 网 页 源 代码 ”命令 ,就 可 以 看 到 这 些 注 释 。 而 Web 服务 器 的 内 部 
IP 地 址 能 使 攻击 者 识别 和 了 解 内 部 网 络 拓扑 。 如 果 攻 击 者 从 注释 中 获取 到 这 些 敏 感 信 
息 并 将 其 用 于 攻击 Web 服务 器 内 部 服务 ,将 对 Web 服务 器 造成 巨大 打击 ,例如 用 服务 器 
端 请 求 伪造 (SSRF) 攻 击 来 攻击 多 个 系统 。 

此 外 在 网 站 的 使 用 过 程 中 ,需要 对 网 站 中 的 文件 进行 修改 、 升 级 ,因此 会 对 整个 网 站 
或 者 其 中 某 一 页 面 进行 备份 。 当 备份 的 文件 或 者 修改 过 程 中 的 缓存 文件 被 遗留 在 网 站 的 
Web 目录 下 ,而 该 Web 目录 又 没有 设置 访问 权限 时 ,备份 文件 或 编辑 器 的 缓存 文件 就 有 
可 能 被 攻击 者 下 载 ,导致 Web 服务 器 敏感 信息 泄露 。 

4. 错误 信息 页 面 

如 果 Web 服务 器 对 用 户 输入 的 处 理 不 正确 或 Web 服务 器 的 配置 不 当 , Web 服务 器 
后 端 就 会 出 现 异常 。 攻 击 者 可 以 在 Web 应 用 程序 、 错 误 页 面 和 调试 信息 等 的 响应 信息 中 
看 到 Web 服务 器 的 文件 名 或 文件 路 径 等 底层 系统 结构 信息 ,攻击 者 还 可 以 发 送 访问 请 
求 , 利 用 错误 页 面 信息 来 验证 Web 服务 器 上 是 否 存在 某 个 文件 夹 或 文件 。 

例如 , 当 发 送 以 下 请 求 时 ,Web 服务 器 返回 403( 禁 止 ) 响 应 : 


https://www.example.com/%5C../%5C../%5C../%5C../%5C../%5C../etc/passwd 
但 是 当 攻 击 者 发 送 以 下 请 求 时 ,Web 服务 器 返回 404( 没 有 文件 ) 响 应 : 
https://www.example.com/%5C../%5C../%5C../%5C../%5C../%5C../etc/doesntexist 


攻击 者 在 第 一 个 请 求 中 得 到 了 403 Forbidden 响应 ,而 在 第 二 个 请 求 中 得 到 了 404 
Not Found 响应 ,因此 攻击 者 可 以 了 解 到 在 第 一 种 情况 下 该 文件 存在 。 
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5. 默认 目录 显示 功能 

目录 遍历 (路 径 遍历 ) 是 由 于 Web 服务 器 或 者 Web 应 用 程序 对 用 户 输入 的 文件 名 、 
路 径 的 安全 性 验证 不 足 而 导致 的 一 种 安全 漏洞 ,使 得 攻击 者 利用 一 些 特殊 字符 就 可 以 绕 
过 服务 器 的 安全 限制 ,访问 Web 服务 器 目录 中 的 任意 文件 ,甚至 可 以 是 Web 根 目录 以 外 
的 文件 ,以 及 执行 系统 命令 。 

在 Web 服务 器 中 有 默认 提供 的 目录 显示 功能 , 当 目 录 显 示 功 能 没有 关闭 且 网 站 没有 
设置 默认 网 页 时 ,网 站 会 暴露 出 Web 服务 器 并 显示 访问 目录 中 包含 的 文件 和 目录 。 假 设 
在 扫描 Web 服务 器 的 端口 时 ,攻击 者 发 现在 8081 端口 运行 的 Web 服务 器 会 默认 启动 目 
录 显 示 功 能 ,并 且 Web 服务 器 管理 员 忘 记 关闭 此 默认 功能 , 则 攻击 者 可 利用 默认 目录 显 
示 功 能 浏览 该 目录 甚至 访问 Web 服务 器 的 源 代码 、 备 份 文件 以 及 数据 库 文件 ,更 可 由 此 
利用 目录 遍历 漏洞 ,通过 输入 *../” 和 *./” 之 类 的 目录 跳 转 符 提 交 目 录 跳 转 来 遍历 服务 器 
上 的 任意 文件 ,造成 更 加 严重 的 后 果 。 

例如 ,在 Apahce 服务 器 上 有 一 个 默认 文件 名 为 index. php, 若 index. php 没有 被 上 
传 到 Web 服务 器 ,服务 器 就 会 将 文件 夹 中 的 内 容 全 部 展示 出 来 ,暴露 文件 和 目录 。 


4.7.2 敏感 信息 泄露 检测 


随 着 企业 信息 系统 的 不 断 扩大 , 接 入 信息 系统 的 终端 和 服务 器 不 断 增 多 ,导致 信息 外 
泄 的 渠道 大 幅 增 加 ,安全 风险 无 处 不 在 。Web 服务 器 敏感 信息 泄露 严重 威胁 着 Web 服 
务 器 的 安全 ,因此 设置 Web 应 用 防火 墙 (WAF) 对 经 过 的 数据 包 进 行 检测 防护 十 分 必要 。 
WAF 常 需 保护 的 有 下 述 3 种 敏感 信息 : Server、X-Powered-By 和 用 户 自 定义 的 信息 。 通 
过 在 WAF 中 编辑 敏感 信息 检测 规则 ,可 有 效 防止 Web 服务 器 敏感 信息 的 泄露 。 

在 WAF 的 敏感 信息 检测 规则 中 可 以 设置 例外 URL、 检 测 位 置 .敏感 信息 和 处 理 动 
作 等 。 当 客户 端 向 Web 服务 器 发 起 请 求 ,服务 器 返回 响应 消息 后 ,WAF 引擎 首先 检测 响 
应 数据 包 的 URL, 将 响应 数据 包 的 URL 与 设 定 的 例外 URL 进行 比较 ,如 果 符 合 则 放 其 
通行 ,否则 根据 设 定 的 检测 位 置 检测 响应 数据 包 中 对 应 位 置 的 数据 ,再 将 检测 位 置 的 数据 
和 设 定 的 敏感 信息 进行 比较 ,如 果 不 符合 则 放 其 通行 ,否则 根据 预先 设 定 的 处 理 方式 处 理 
此 响应 数据 包 。 


4.7.3 敏感 信息 泄露 防范 
下 面 介绍 Web 服务 器 防范 敏感 信息 泄露 的 其 他 几 种 方式 。 


1. 关键 词 检测 
右 击 网 页 ,在 快捷 菜单 中 选择 “查看 网 页 源 代码 ”命令 ,通过 在 源 代码 中 按 Ctrl 十 F 键 
输入 常见 的 泄露 点 关键 词 phone、email\ip 等 来 检测 是 否 有 电话 、 邮 件 地 址 、IP 地 址 等 用 
户 信 息 在 源 代码 中 暴露 。 
特别 是 对 于 JS 文件 泄露 后 台 管 理 敏 感 路 径 及 API 的 检测 ,在 遇 到 企业 后 台 或 者 类 
似 服务 时 ,查看 页 面 引入 的 JS 文件 后 ,在 文件 中 搜索 ”. html”. do“. action ”等 关键 词 会 
帮助 快速 发 现 漏洞 。 
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2. 严格 控制 服务 器 的 写 权 限 

在 一 些 内 容 比较 多 、 结 构 比 较 复杂 的 Web 服务 器 中 ,往往 多 个 用 户 都 对 服务 器 具有 
写 入 的 权限 。 例 如 某 网 站 由 专人 分 别 负责 新 闻 板 块 和 博客 板块 等 。 大 量 用 户 对 网 站 服务 
器 都 具有 写 人 的 权限 ,具有 写 人 权限 的 用 户 会 给 Web 服务 器 带 来 一 定 的 安全 隐患 。 例 如 
某 个 用 户 的 密码 泄露 ,攻击 者 就 可 乘机 对 服务 器 进行 破坏 。 这 种 情况 下 ,防范 措施 的 基本 
原则 就 是 给 予 用 户 最 小 的 权限 。 例 如 可 以 根据 网 站 板块 的 不 同 , 将 相关 的 内 容 放 置 到 对 
应 的 文件 夹 中 ,每 个 特定 的 用 户 只 能 够 访问 自己 负责 内 容 的 文件 夹 。 这 样 即使 某 个 管理 
员 的 用 户 密码 泄露 ,也 只 影响 一 个 文件 夹 ,而 不 会 对 其 他 用 户 的 文件 夹 产 生 不 利 影响 。 此 
外 最 好 不 要 将 Web 服务 器 同 其 他 的 应 用 服务 放置 在 一 起 。 一 些 企 业 为 了 节省 成 本 ,将 
Web 服务 器 与 文件 服务 器 等 部 署 在 同一 个 服务 器 上 ,这 是 一 种 非常 危险 的 方式 。 


3. 对 IIS 目录 采用 严格 的 访问 策略 

JIS 目录 是 Web 服务 器 中 很 重要 的 一 个 目录 ,控制 着 Web 服务 器 的 运行 ,因此 在 规 
划 Web 服务 器 安全 的 时 候 , 要 对 其 进行 特别 的 关注 。 但 在 实际 工作 中 ,这 个 目录 却 没 有 
引起 用 户 足 够 的 注意 ,用 户 大 多 直接 使 用 系统 的 默认 设置 ,也 没有 进行 后 续 的 追踪 ,这 些 
行为 都 有 可 能 成 为 以 后 网 站 被 黑 .服务 器 瘫痪 的 起 因 。 对 于 JS 目录 的 安全 ,有 以 下 两 点 
防范 措施 。 一 是 需要 对 IP 地 址 、 子 网 域名 等 加 以 限制 。 如 果 根 据 追 踪 发 现 某 个 不 知名 
的 IP 地 址 经 常 ping Web 服务 器 ,此 时 就 需要 及 时 地 将 这 个 IP 地 址 拉 入 黑 名 单 , 禁 止 其 
访问 IIS 目录 。 二 是 需要 做 好 追踪 、 分 析 工 作 。 管 理 员 可 以 使 用 一 些 软 件 来 记录 用 户 对 
JIS 目录 的 访问 ,例如 是 否 有 用 户 试图 越权 访问 其 没有 权限 的 目录 ,等 等 。 


4. 加 密 存储 

个 人 数据 必须 加 密 存 储 , 且 要 使 用 安全 的 加 密 算法 ,具体 可 以 分 为 以 下 3 种 情况 : 

(1) 对 于 本 地 存储 且 需 要 密 文 -明文 转换 的 数据 ,使 用 AES128 及 以 上 的 安全 加 密 
算法 。 

(2) 对 于 使 用 于 认证 场景 的 不 需要 可 道 的 数据 ,可 以 采用 SHA256 及 以 上 的 安全 
Hash 算法 ,如 PBKDF2 等 ,需要 加 盐 值 (采用 安全 随机 数 ,防止 彩虹 表 攻 击 ) 。 

(3) 对 于 跨 信任 网 络 传输 的 敏感 数据 ,需要 使 用 非 对 称 加 密 算法 ( 公 钥 加 密 , 私 钥 解 
密 ) ,如 RSA2048 及 以 上 算法 。 


5. 制定 统一 出 错 页 面 

应 用 程序 运行 出 错 容易 造成 敏感 信息 的 泄露 ,如 某 些 网 站 的 程序 堆栈 信息 直接 显示 
在 页 面 上 ,暴露 了 Web 服务 器 的 名 称 和 版 本 信息 。 解 决 这 个 问题 的 办 法 就 是 制定 统一 出 
错 页 面 , 杜 绝 显 示 此 类 敏感 信息 到 Web 客户 端 。 


6. 禁止 明文 传输 
禁止 敏感 信息 明文 传递 到 Web 客户 端 ,最 好 能 不 传递 就 不 传递 。 禁 止 将 敏感 信息 打 
印 到 堆栈 或 者 日 志 中 ,禁止 敏感 信息 明文 存储 在 文件 或 数据 库 中 ,同时 保存 敏感 信息 的 文 
件 要 严格 控制 访问 权限 。 在 很 多 信息 泄露 的 实例 中 ,都 是 因为 敏感 信息 明文 储存 导致 的 。 
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7. 做 好 操作 审计 

1) 文档 全 生命 周期 审计 

完整 而 详细 地 将 文档 从 创建 之 初 到 访问 、 修 改 、 移 动 .复制 ,直至 删除 的 全 生命 周期 内 
的 每 一 项 操作 信息 记录 下 来 ,同时 记录 共享 文档 被 其 他 计算 机 修改 .删除 改名 等 操作 。 
另外 ,对 于 修改 .删除 .打印 .外 发 .解密 等 可 能 造成 文档 损失 或 外 泄 的 相关 操作 ,在 操作 发 
生前 及 时 备份 ,可 以 有 效 防范 文档 被 泄露 . 算 改 和 删除 。 

2) 文档 传播 全 过 程 审计 

细致 记录 文档 通过 打印 机 、 外 部 设备 、 即 时 通信 工具 、 邮 件 等 工具 进行 传播 的 过 程 ,有 
效 防范 重要 资料 被 随意 复制 移动 从 而 造成 信息 泄露 。 


8. 管控 操作 授权 

1) 文档 操作 管控 

控制 用 户 对 本 地 、 网 络 等 各 种 位 置 的 文件 甚至 文件 夹 的 操作 权限 ,包括 访问 、 复 制 \ 修 
改 、 删 除 等 ,防范 非法 的 访问 和 操作 。 企 业 可 以 根据 用 户 不 同 的 部 门 和 级 别 设置 不 同 的 文 
档 操作 权限 。 

2) 移动 存储 管控 

规定 移动 存储 设备 在 企业 内 部 的 使 用 权限 。 可 以 禁止 外 来 U 盘 在 企业 内 部 使 用 ,做 
到 外 盘 外 用 ;同时 还 可 对 内 部 的 移动 盘 进 行 整 盘 加 密 , 使 其 只 能 在 企业 内 部 使 用 ,在 外 部 
则 无 法 读 取 ,做 到 内 盘 内 用 。 

3) 终端 设备 规范 

通过 限制 USB 设备 ,刻录 、 蓝 牙 等 各 类 外 部 设备 的 使 用 ,有 效 防止 信息 通过 设备 
外 汇 。 

4) 网 络 通信 控制 

控制 用 户 经 由 QQ、 微 信 、MSN 等 即时 通信 和 E-mail 等 网 络 应 用 发 送 机 密 文档 ,同时 
也 要 防止 通过 上 传 、 下 载 和 非法 外 联 等 方式 泄露 信息 。 


. 简 述 SQL 注入 的 原理 。 

. SQL 注入 攻击 有 哪 几 种 方式 ? 如 何 对 SQL 注入 攻击 进行 防护 ? 

. 简 述 跨 站 脚本 (XSS) 攻 击 的 前 提 条 件 。XSS 攻击 有 哪 几 种 方式 ? 

. 如 何 对 XSS 攻击 进行 检测 ? 采用 的 防范 措施 包括 哪些 ? 

. 简 述 跨 站 请 求 伪造 (CSRF) 攻 击 的 原理 ? 如 何 利 用 CSRF 进行 攻击 ? 

. CSRF 攻击 的 检测 方法 有 哪些 ?如 何 对 CSRF 攻击 进行 防范 ? 

. 恶意 流量 攻击 的 技术 手段 有 哪些 ? 

. 简 述 仆 虫 攻击 的 原理 。 如 何 对 候 虫 攻击 进行 防范 ? 

. 简 述 资 链 攻击 的 原理 。 防 资 链 技 术 有 哪些 ? 

10. 简 述 文件 上 传 攻击 对 网 站 安全 使 用 的 影响 。 文 件 上 传 攻击 的 防范 措施 有 哪些 ? 


区 = 
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简 述 文件 下 载 攻击 的 原理 及 防范 技术 手段 。 

简 述 敏感 信息 泄露 的 原理 。 如 何 对 敏感 信息 泄露 进行 检测 ? 
简 述 敏感 信息 泄露 的 防范 方法 。 

简 述 弱 密 码 攻击 的 方法 。 

简 述 弱 密 码 的 两 种 检测 方法 。 
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网 页 防 自 改 


在 社会 信息 化 高 速 发 展 的 今天 ,人 们 已 经 习惯 通过 浏览 器 和 APP 等 客户 端 去 访问 
Web 网 站 ,完成 信息 检索 、 网 上 购物 和 网 上 办 公 , 攻 击 者 对 网 站 的 攻击 方法 和 手段 也 在 不 
断 变化 ,网 页 自 改 就 是 针对 Web 网 站 、 和 危害 性 极 大 的 攻击 方法 之 一 。 网 页 被 算 改 后 ,用 户 
访问 的 页 面 是 被 攻击 者 算 改 后 的 页 面 , 可 能 会 遭受 极 大 的 危害 ,导致 财产 损失 。 本 章 将 介 
绍 网 页 臭 改 的 原理 和 防范 技术 。 


5 网 页 算 改 的 原理 


网 页 算 改 通过 恶意 破坏 或 更 改 网 页 内 容 导致 网 站 无 法 正常 工作 。 攻 击 者 利用 网 站 漏 
洞 破坏 和 自 改 网 站 信息 ,给 网 站 所 属 组 织 机 构 带 来 重大 的 经 济 损失 ,并 造成 恶劣 的 社会 影 
响 。 攻击 者 利用 假冒 页 面 模仿 知名 网 站 吴 导 用 户 输入 用 户 名 和 口令 等 隐私 信息 ;有 的 攻 
击 者 在 Web 服务 器 的 网 页 中 插入 木马 程序 感染 访问 者 的 计算 机 ,导致 访问 者 计算 机 的 系 
统 骨 省 .数据 损坏 和 银行 账户 被 盗 等 严重 后 果 。 据 统计 ,2017 年 中 国境 内 被 自 改 的 网 站 
数量 为 60 684 个 ,被 算 改 的 网 站 月 度 统 计 如 图 5-1 所 示 。 
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图 5-1 2017 年 中 国境 内 被 算 改 的 网 站 数量 月 度 统计 


从 网 页 被 自 改 的 方式 来 看 ,被 植 信 暗 链 的 网 站 占 全 部 被 自 改 网 站 的 68.0%, 仍 是 中 
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国境 内 网 站 被 算 改 的 主要 方式 ,但 占 比 较 前 两 年 有 所 下 降 。 从 中 国境 内 被 自 改 网 页 的 顶 
级 域名 分 布 来 看 ,. com、. net 和 . cn 占 比 列 前 三 位 ,分 别 占 总 数 的 65. 7%、7. 6% 和 
3.1%。2017 年 中 国境 内 被 算 改 网 站 域名 类 型 分 布 如 图 5-2 所 示 。 
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图 5-2 2017 年 中 国境 内 被 算 改 网 站 域名 类 型 分 布 


虽然 目前 已 有 防火 墙 , 人 侵 检 测 等 各 种 网 络 安全 防范 手段 ,但 由 于 Web 应 用 系统 复 
杂 多 样 ,各 种 漏洞 层出不穷 ,攻击 者 利用 各 种 攻击 手段 攻击 Web 服务 器 ,导致 Web 网 站 
的 网 页 被 算 改 ,从 而 造成 严重 的 后 果 。 


52 攻击 者 常用 的 网 页 算 改 方法 





1. SQL 注入 后 获取 Webshell 

攻击 者 利用 Web 应 用 程序 的 漏洞 ,提交 非法 的 SQL 查询 语句 到 数据 库 , 利 用 Web 
服务 器 或 第 三 方 软件 的 漏洞 获取 网 站 服务 器 控制 权限 。 主 要 步 又 为 以 下 三 步 : 第 一 步 ， 
发 现 SQL 注入 点 ;第 二 步 ,根据 系统 反馈 的 信息 进一步 进行 注入 ,获取 账号 密码 等 敏感 
信息 ;第 三 步 , 上 传 Webshell ,获得 一 个 反 向 连接 。 

2. 在 Web 页 面 中 插入 HTML 代码 

攻击 者 在 Web 页 面 中 插入 恶意 HTML 代码 。 当 用 户 浏览 该 页 面 时 ,被 嵌入 的 恶意 
HTML 代码 就 会 被 执行 ,改变 访问 者 的 页 面 内 容 , 从 而 达到 恶意 攻击 用 户 的 目的 。 

3. 控制 Web 服务 器 

Web 服务 器 中 存储 着 各 种 页 面 文件 数据 文件 和 应 用 程序 等 供用 户 浏览 和 下 载 。 攻 
击 者 可 通过 搜集 服务 器 敏感 信息 了 解 到 服务 器 版 本 漏洞 ,从 而 获取 服务 器 权限 、 数 据 库 管 
理 权 限 , 进 而 控制 Web 服务 器 。 


4. 控制 DNS 服务 器 
DNS( 域 名 系统 ) 将 域名 转换 为 IP 地 址 ,这 样 用 户 就 不 再 需要 记忆 复杂 而 又 毫 无 规律 
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的 IP 地 址 ,只 需 输 入 简单 的 域名 即 可 访问 网 站 。 攻 击 者 对 网 站 的 域名 服务 器 进行 攻击 并 
获取 域名 的 解析 权限 ,然后 改变 域名 对 应 的 IP 地 址 以 达到 自 改 网 页 的 目的 。 


5. ARP 攻击 

ARP(CAddress Resolution Protocol, 地 址 解析 协议 ) 是 一 个 位 于 TCP/IP 协议 栈 低层 
的 协议 ,负责 将 IP 地 址 解析 成 对 应 的 MAC 地 址 。 通 过 ARP 欺骗 进行 网 页 劫持 的 攻击 
会 使 Web 服务 器 访问 速度 变 慢 ,攻击 者 针对 Web 服务 器 所 在 的 网 段 进 行 攻击 , 当 其 掌握 
了 同 网 段 的 某 台 主机 后 ,向 Web 服务 器 所 在 的 主机 发 送 ARP 欺骗 包 , 以 截取 并 算 改 请 求 
访问 网 页 的 数据 包 , 添 加 包含 木马 程序 的 网 页 链接 ,引诱 访问 者 或 者 Web 服务 器 指向 此 
网 页 链接 以 达到 算 改 网 页 的 目的 。 

根据 劫持 网 页 的 位 置 不 同 , 可 将 ARP 攻击 分 为 两 种 : 一 种 是 支持 并 算 改 局 域 网 内 容 
户 端 访问 获得 的 网 页 ; 另 一 种 是 劫持 并 算 改 局 域 网 内 Web 服务 器 对 外 提供 的 网 页 。 

第 一 种 ARP 欺骗 的 原理 是 截获 网 关 数 据 。 它 通知 路 由 器 一 系列 错误 的 内 网 MAC 
地 址 ,并 按照 一 定 的 频率 不 断 重复 ,使 正确 的 地 址 信息 无 法 通过 更 新 方式 保存 在 路 由 器 
中 ,因此 路 由 器 的 所 有 数据 只 能 发 送 给 错误 的 MAC 地址 ,而 正常 主机 无 法 收 到 信息 。 客 
户 端 网 页 动 持 流程 如 图 5-3 所 示 。 
































(1) 主机 A 向 服务 器 W 发 起 HTTP 访 问 请 
求 ， 目 标 IP(W) ， 数 据 包 通过 网 关 G 
主机 A 的 ARP 缓 存 表 转发 到 IP (W) 
IP(G) MAC(G) 
IP (B) MAC(B) 
Np [ 
主机 A， 正 常 主机 | 网 关 的 ARP 缓 存 表 
IP 地 址 : IP (A) IP (A) MAC(B) 
MAC 地 址 :MAC(A) IP(B) MAC(B) 
网 关 地 址 :IP (6) 一 一 一 
网 关 C 
TP 地址: IP (GO) 服务 器 W 
MAC 地 址 : MAC(G) 了 地 址 :IP (W) 
N 主机 B 的 ARP 缓 存 表 | (3) 由 于 网 关 的 ARP 缓 存 表 被 | (2) 服务 器 W 应 答 主 机 A 
IP(G) MAC(G) 污染 ， 导 致 发 往 IP (A) 的 的 请 求 ，HTTP 应 答 包 
E : 感 马 
i JP (A) MAC(A) | | HTTP 应 答 包 被 发 往 MAC(B) | | 目标 地 址 为 PCA) 





MAC 地 址 : MAC(B) 

网 关 地 址 : IP (6) 客户 端 网 页 动 持 过 程 如 下 : 
第 一 步 : 主机 B 通 过 ARP 欺 骗 污染 网 关 的 ARP 缓 存 表 ， 在 网 关 6 与 主 
机 A 之 间 建 立 单 向 代理 。 
第 二 步 : 主机 B 监 听 端 口 BG 的 HTTP 应 答 包 ， 进 行 自 改 ( 加 入 木马 链 
接 ) 后 转发 给 主机 A。 


5-3 ”客户 端 网 页 动 持 流程 








第 二 种 ARP 欺骗 的 原理 是 伪造 网 关 。 它 建立 一 个 假 网 关 , 则 被 它 欺骗 的 主机 只 会 
向 假 网 关 发 数据 ,而 不 是 通过 正常 的 路 由 器 途径 上 网 ,导致 主机 无 法 联网 。ARP 欺骗 木 
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马 只 需 成 功 感染 一 台 主 机 ,就 可 导致 整个 局 域 网 都 无 法 上 网 ,严重 的 甚至 可 能 带 来 整个 网 
络 的 次 病 。 服 务 器 端 网 页 劫持 流程 如 图 5-4 所 示 。 


























(D 客 户 端 C 向 服务 器 W 发 起 HTTP 访 问 
请 求 ， 目 标 IP(W) ， 数 据 包 通过 网 
服务 器 W 的 ARP 缓 存 表 关 G 转 发 到 IP (W) 
IP(G) MAC (B) 
IP(B) MAC (B) 
网 关 的 ARP 缓 存 表 
了 he IP (W) MAC (W) 
MAC 地 址 : MAC (W) BO 
网 关 地 址 : IP(G) BB 











发 给 IP(C) 的 HTTP 应 网 关 G 


客户 端 C 
答 包 被 发 给 MAC (B) ld 地址 下 rp Po) 











(2) 由 于 服务 器 W 的 ARP | 一 = | | | 
| 


| 











RN | G) 主机 B 算 改 HTTP 应 答 包 ， 在 里 面 
| IP(G) MCG 添加 木马 链接 后 再 由 网 关 6 发 送 到 
主机 各 汪汪 号 | ITP() MACO | | 客户 器 
MAC 地 址 : MAC(B) 
网 关 地 址 ，IP(G) 服务 器 端 网 页 动 持 过 程 如 下 
第 一 步 ， 主 机 B 通 过 ARP 坎 骗 污染 服务 器 W 的 ARP 缓 存 表 ， 在 服务 器 
和 网 关 (之 间 建 立 单 向 代理 。 


第 二 步 : 主机 B 监 听 端 口 BG 的 HTTP 应 答 包 ， 进 行 算 改 (加 入 木马 链 
接 ) 后 通过 网 关 6 发 送 给 客户 端 C。 


图 5-4 服务 器 端 网 页 劫持 流程 


53 ”网 页 算 改 防范 技术 





网 页 防 算 改 是 一 种 防止 攻击 者 修改 Web 页 面 的 技术 ,可 以 有 效 地 阻止 攻击 者 对 网 站 
Web 页 面 进行 恶意 算 改 。 

为 更 好 地 介绍 网 页 防 算 改 技术 ,以 美术 馆 大 楼 为 例 来 说 明 。Web 服务 器 就 是 美术 馆 
大 楼 ,Web 服务 器 中 的 文件 目录 就 是 美术 馆 大 楼 的 展厅 ,每 个 网 页 文件 就 是 展厅 中 挂 着 
的 作品 。 这 些 作 品 每 天 由 工作 人 员 不 断 管理 维护 ,同时 每 天 也 有 成 千 上 万 的 游览 者 来 观 
赏 这 些 作品 。 网 页 防 自 改 系统 就 是 保证 游览 者 看 到 的 作品 是 真实 的 原作 ,而 不 是 被 非法 
者 更 换 后 的 硕 品 。 

一 个 有 效 的 网 页 防 自 改 系统 必须 达到 以 下 两 个 要 求 : 

(1) 实现 对 网 页 文件 的 完整 性 检查 和 保护 ,并 达到 100% 的 防护 效果 , 即 被 自 改 网 页 
不 可 能 被 用 户 访问 到 。 

(2) 实现 对 已 知 的 来 自 Web 的 数据 库 攻击 手段 的 防范 。 
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下 面 介绍 几 种 常见 的 网 页 防 算 改 技术 。 
5.3.1 时 间 轮 询 技术 


时 间 轮 询 技术 是 用 网 页 检测 程序 以 轮 询 扫描 的 方式 监控 网 页 ,并 将 监控 的 网 页 与 正 
确 网 页 相 比 较 , 以 判断 网 页 内 容 的 真实 性 和 完整 性 , 若 网 页 被 自 改 , 则 立即 进行 报警 和 恢 
复 。 采 用 时 间 轮 询 技 术 的 网 页 防臭 改 系统 部 署 实现 简单 ,但 由 于 相 邻 两 次 网 页 轮 询 扫描 
之 间 存 在 着 一 定 的 时 间 间 隔 ,攻击 者 可 以 在 这 个 时 间 间 隔 中 发 动 攻击 ,导致 用 户 访问 到 被 
算 改 的 网 页 。 另 外 ,时 间 轮 询 需 要 从 外 部 不 断 扫 描 Web 服务 器 文件 ,这 会 增加 Web 服务 
器 的 负载 , 且 由 于 扫描 频 度 (以 及 安全 性 ) 和 负载 总 是 矛盾 的 , Web 服务 器 的 安全 性 也 会 
降低 。 图 5-5 为 时 间 轮 询 监 测 流程 。 



















































轮 询 被 监测 文 
件 的 修改 时 间 
息 五 异常 >> 是 
1 1 
轮 询 被 监测 轮 询 被 监测 
文件 的 大 小 文件 的 大 小 
否 
是 否 异常 2 
是 
监测 网 页 内 利用 正确 文件 
的 指定 代码 急 处 理 程序 dn 

















5-5 时 间 轮 询 监测 流程 


时 间 轮 询 就 像 是 美术 馆 大 楼 配备 一 个 保安 对 所 有 的 作品 进行 巡 检 ,他 以 一 个 普通 观 
光 者 的 身份 在 大 楼 中 检查 每 个 展厅 的 每 个 作品 ,与 手 里 保存 的 作品 的 复制 品 进行 比较 ,发 
现 有 可 疑 之 处 即 进行 报警 。 

这 种 方式 最 大 的 缺点 是 : 当 大 楼 规模 很 大 ,展厅 和 作品 很 多 时 ,保安 的 工作 量 会 非常 
大 。 并 且 对 于 某 一 作品 ,由 于 两 次 检查 的 时 间 间 隔 会 很 长 ,从 保安 本 次 巡 检 结束 到 下 一 次 巡 
检 到 这 个 作品 时 有 很 长 一 段 时 间 间 隔 , 攻 击 者 可 以 在 这 段 时 间 内 更 换 作 品 以 达到 攻击 目的 。 

在 网 站 的 规模 较 小 ,网 站 中 包含 的 页 面 较 少 的 情况 下 ,可 以 使 用 时 间 轮 询 技术 防止 网 
页 被 算 改 。 但 当 网 站 规模 变 大 ,网 页 特别 多 的 时 候 , 使 用 时 间 轮 询 技 术 所 需 的 轮 询 检 测 时 
间 较 长 , 且 占 用 系统 资源 较 大 ,因此 该 技术 逐渐 被 淘汰 。 


5.3.2 ”核心 内 藤 技 术 
核心 内 嵌 技 术 又 称 密码 水 印 技术 。 它 将 纂 改 检测 模块 内 嵌 在 Web 服务 器 里 , 先 将 网 
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页 内 容 采 取 非 对 称 加 密 方 式 存 放 ( 非 对 称 加 密 算法 需要 两 个 密 钥 一 一 公 钥 和 私 钥 来 进行 
加 密 和 解密 ,更 加 安全 )。 当 用 户 请 求 访问 网 页 时 ,将 已 经 过 加 密 验 证 的 网 页 内 容 进行 解 
密 , 对 外 发 布 ; 若 未 经 过 验证 , 则 拒绝 对 外 发 布 。 此 技术 通常 结合 事件 触发 机 制 对 文件 的 
部 分 属性 进行 对 比 ,如 文件 大 小 、 页 面 生成 时 间 等 。 

核心 内 嵌 可 以 看 作 是 保安 在 任何 一 位 游览 者 观赏 任何 一 个 作品 之 前 都 要 对 该 作品 进 
行 一 次 检查 , 若 发 现 该 作品 可 疑 , 即 阻止 游览 者 观赏 。 

这 种 方式 的 显著 优点 是 : 每 个 作品 在 每 次 被 观赏 前 都 会 进行 检查 ,因此 可 疑 作品 完 
全 没有 被 游览 者 看 到 的 可 能 。 其 缺点 是 : 由 于 存在 检查 手续 ,降低 了 美术 馆 接 待 游览 者 
的 能 力 。 

核心 内 内 以 无 进程 、 自 改 网 页 无 法 流出 、 使 用 密码 学 算法 作 支 撑 而 著称 ,在 服务 器 正 
式 提交 网 页 内 容 给 用 户 之 前 对 网 页 进行 完整 性 检查 ,对 于 已 被 自 改 的 网 页 进行 实时 访问 
阻 断 , 并 予以 报警 和 恢复 。 其 原理 是 : 对 每 一 个 流出 的 网 页 进行 水 印 ( 也 就 是 散 列 值 ) 检 
查 , 如 果 发 现 当前 水 印 和 之 前 记录 的 水 印 不 同 , 则 可 断定 该 文件 被 自 改 , 即 阻止 其 继续 流 
出 ,并 运行 恢复 程序 进行 恢复 。 这 样 即使 攻击 者 通过 各 种 未 知 的 手段 复 改 了 网 页 文件 ,被 
自 改 的 网 页 文件 也 无 法 流出 服务 器 ,被 公众 访问 到 。 图 5-6 是 核心 内 嵌 结 构 。 

















核心 内 赚 模 块 


Web 服 务 器 软件 
(IIS/Apache/WebLogic/WebSphere/Tomcat) 

















操作 系统 
(Windows/Linux/FreeBSD/Solaris/AIX/HP-UX) 


硬件 平台 
(x86/Sparc/Itanium IUPowerPC/PA-RISC) 




















图 5-6 核心 内 嵌 结 构 


核心 内 嵌 技 术 避 开 了 时 间 轮 询 技术 的 缺点 (有 轮 询 间隔 ), 其 安全 性 相对 于 时 间 轮 询 
技术 也 大 为 提高 。 其 缺点 是 需要 对 每 个 流出 网 页 都 进行 完整 性 检查 ,加 密 计 算 会 占用 大 
量 服务 器 资源 ,给 服务 器 造成 较 大 负载 ,使 系统 反应 较 慢 。 随 着 技术 的 发 展 以 及 网 络 应 用 
程序 的 增多 ,服务 器 的 负载 和 资源 利用 要 求 十 分 苛刻 ,任何 大 量 占用 服务 器 资源 的 部 分 都 
会 被 慢 慢 淘汰 ,以 确保 网 站 的 访问 效率 。 


5.3.3 事件 触发 技术 


事件 触发 技术 是 目前 主流 的 网 页 防 自 改 技术 之 一 ,也 是 服务 器 负载 最 小 的 一 种 检测 
技术 ,经 常 和 前 面 两 种 技术 结合 起 来 使 用 。 该 技术 以 稳定 、 可 靠 、 占 用 资源 少 著称 。 其 原 
理 是 : 通过 监控 网 站 目录 ,利用 操作 系统 的 文件 系统 接口 ,在 网 页 文件 被 修改 时 进行 合法 
性 检查 ,根据 规则 判定 是 否 是 非法 自 改 ,如 果 蚌 非法 算 改 ,立即 进行 报警 和 恢复 。 

事件 触发 技术 就 像 美术 馆 大 楼 在 正门 进口 处 配备 一 个 保安 ,保安 对 每 一 个 作品 进行 
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检查 ,发 现 有 可 疑 之 处 即 进行 报警 。 

由 于 美术 馆 大 楼 的 结构 十 分 复杂 ,攻击 者 通常 不 会 选择 从 正门 进来 ,而 会 从 天 花 板 、 
下 水 道 其 至 利用 大 楼 结构 的 薄弱 处 自己 挖 洞 进入 ,新 的 进入 点 会 不 断 被 发 现 ,可 见 防守 正 
门 进口 的 策略 是 不 能 做 到 万 无 一 失 的 ,并 且 一 旦 非法 作品 混 进 了 大 楼 ,就 再 也 不 会 对 其 进 
行 检查 ,因而 它 也 就 再 也 不 会 被 发 现 。 这 种 方式 的 显著 优点 是 : 防范 成 本 低 , 可 以 从 根本 
上 对 非法 算 改 进行 阻止 。 其 缺点 是 : 如 果 攻 击 者 完全 控制 主机 ,那么 这 种 技术 就 没有 用 
武之 地 。 

可 以 看 出 ,该 技术 是 典型 的 “后 发 制 人 ”, 即 非法 算 改 已 经 发 生 后 才 可 进行 报警 和 恢 
复 ,其 安全 隐患 有 3 个 方面 : 

(1) 如 果 攻 击 者 采取 连续 算 改 的 攻击 方式 , 则 网 页 很 可 能 一 直 无 法 恢复 ,用 户 看 到 的 
一 直 是 被 算 改 的 网 页 。 因 为 只 有 自 改 发 生 后 , 防 自 改 程序 才 尝 试 进行 恢复 ,有 一 个 系统 延 
迟 的 时 间 间 隔 ,而 连续 复 改 攻击 是 对 一 个 文件 进行 每 秒 上 千 次 复 改 ,这 样 文件 恢复 的 速度 
水 远 也 赶不上 连续 算 改 的 速度 。 

(2) 如 果 文 件 被 非法 算 改 后 立即 被 恶意 支持 , 即 攻击 者 通过 浏览 器 支持 手段 控制 用 
户 计算 机 的 浏览 器 , 则 防 自 改 进程 将 无 法 对 该 文件 进行 恢复 。 

(3) 事件 触发 技术 的 防 自 改 功能 依赖 于 目录 监控 程序 ,如 果 监 控 程 序 被 强行 终止 , 则 
防 算 改 功能 立刻 消失 ,网 站 目录 又 面临 被 算 改 的 危险 。 


5.3.4 3 种 网 页 防 篡改 技术 的 对 比 
上 述 3 种 网 页 防 自 改 技术 的 对 比如 表 5-1 所 示 。 
表 5-1 3 种 网 页 防 篡改 技术 的 对 比 






































对 比 项 目 时 间 轮 询 技 术 核心 内 嵌 技 术 事件 触发 技术 
访问 被 算 改 网 页 可 能 不 可 能 可 能 
保护 动态 内 容 不 能 能 不 能 
服务 器 负载 中 低 低 
带宽 占用 中 无 无 
检测 时 间 分 钟 级 实时 秒 级 
绕 过 检测 机 制 不 可 能 不 可 能 可 能 
防范 连续 自 改 攻击 不 能 能 不 能 
保护 所 有 网 页 不 能 能 能 
保护 动态 网 页 脚本 不 支持 支持 支持 
适用 操作 系统 所 有 所 有 受 限 
上 传 时 检测 不 能 能 受 限 
断 线 时 保护 不 能 能 不 能 











下 面 对 部 分 对 比 情况 进行 说 明 。 
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1. 访问 被 自 改 网 页 

时 间 轮 询 技术 无 法 阻止 用 户 访问 到 被 自 改 网 页 ,只 能 在 被 算 改 后 一 段 时 间 发 现 和 恢复 。 

核心 内 内 技 术 能 够 完全 阻止 用 户 访问 到 被 算 改 网 页 ,真正 做 到 万 无 一 失 。 

事件 触发 技术 对 网 页 流出 没有 任何 检查 ,在 一 些 情形 下 ,用户 有 可 能 访问 到 被 算 改 
网 页 


2. 保护 动态 内 容 
时 间 轮 询 技术 监测 到 的 动态 网 页 是 网 页 脚本 和 内 容 混合 后 的 结果 ,而 网 页 内 容 是 根 
据 访问 情况 实时 变化 的 ,时 间 轮 询 技术 又 无 法 区 分 网 页 脚本 和 内 容 , 因 此 无 法 实现 对 动态 
网 页 的 防 算 改 保护 。 

核心 内 嵌 技 术 内 能 于 Web 服务 器 软件 内 部 ,能 够 完全 截获 用 户 请 求 数据 ,通过 阻挡 
对 数据 库 的 注入 式 攻 击 来 保护 动态 网 页 内 容 的 安全 。 

事件 触发 技术 仅 工作 在 操作 系统 层面 上 ,未 和 Web 服务 器 软件 发 生 关 联 , 因 此 无 法 
获得 用 户 的 Web 请 求 数据 ,对 动态 内 容 的 算 改 无 能 为 力 。 


3. 服务 器 负载 

时 间 轮 询 技 术 由 于 从 外 部 不 断 地 、 独 立地 扫描 Web 服务 器 文件 ,因此 会 使 Web 服务 
器 产生 相当 的 负载 。 

核心 内 概 技 术 的 算 改 检测 模块 内 嵌 于 Web 服务 器 软件 里 , Web 服务 器 软件 读 出 网 
页 文件 后 ,由 算 改 检测 模块 进行 水 印 比 对 ,因此 需 占 用 一 定 的 CPU 计算 时 间 。 但 这 个 计 
算是 在 内 存 中 进行 的 ,与 Web 服务 器 软件 从 硬盘 中 读 取 网 页 文件 的 操作 相 比 ,额外 产生 
的 负载 是 非常 小 的 。 

事件 触发 技术 由 于 只 在 正常 网 页 发 布 时 进行 安全 检查 ,因此 对 网 页 访问 几乎 没有 影 
响 ,额外 产生 的 服务 器 负载 也 非常 小 。 


4. 带宽 占用 
时 间 轮 询 技术 从 外 部 独立 检测 网 页 ,需要 占用 网 络 带宽 。 
核心 内 嵌 技 术 和 事件 触发 技术 都 在 服务 器 上 进行 检测 ,不 占用 网 络 带 宽 。 


5. 绕 过 检测 机 制 

时 间 轮 询 由 外 部 主机 进行 ,攻击 者 不 可 能 绕 过 检测 机 制 。 

核心 内 嵌 技 术 由 于 将 检测 模块 整合 在 Web 服务 器 软件 里 ,对 每 一 个 网 页 都 进行 筑 改 
检查 ,不 可 能 有 网 页 绕 过 检测 机 制 。 

事件 触发 技术 并 不 能 确保 捕获 对 文件 的 所 有 方式 的 修改 ,例如 直接 写 磁盘 、 直 接 写 内 
核 驱动 程序 、 利 用 操作 系统 漏洞 等 ,因而 很 容易 被 攻击 者 绕 过 ,而 且 一 旦 成 功 , 系 统 无 法 发 
现 和 恢复 。 


6. 防范 连续 算 改 攻击 
采用 时 间 轮 询 技 术 时 ,由 于 连续 算 改 过 程 可 以 只 针对 一 个 重要 网 页 (例如 网 站 首页 ) 
利用 程序 自动 .连续 进行 ,因此 ,即使 扫描 时 间 间 隔 设置 得 再 小 (例如 1min) ,也 无 法 阻止 
89 


Web 应 用 防火 墙 技术 及 应 用 mm 


算 改 后 的 网 页 被 用 户 访问 到 。 

事件 触发 技术 对 Web 服务 器 软件 没有 控制 能 力 ,发 现 算 改 后 无 法 协调 Web 服务 器 
工作 ,对 于 大 规模 或 精心 策划 的 攻击 是 无 能 为 力 的 。 

核心 内 栓 技 术 在 每 次 输出 网 页 时 都 进行 完整 性 检查 ,如 有 变化 则 阻 断 发 送 ,因此 无 论 
连续 攻击 多 么 迅速 和 频繁 ,都 无 法 使 用 户 看 到 被 算 改 的 网 页 。 


7. 保护 动态 网 页 脚本 

动态 网 页 由 网 页 脚本 和 内 容 组 成 ,网 页 脚本 以 文件 形式 存在 于 Web 服务 器 上 ,网 页 
内 容 则 取 自 于 数据 库 。 

时 间 轮 询 技 术 监 测 到 的 动态 网 页 是 网 页 脚本 和 内 容 混 合 后 的 结果 ,而 网 页 内 容 是 根 
据 访问 情况 时 时 在 变化 的 ,时 间 轮 询 技术 又 无 法 区 分 网 页 脚本 和 内 容 , 因 此 无 法 实现 对 动 
态 网 页 脚本 的 防 算 改 保护 。 

核心 内 嵌 技 术 和 事件 触发 技术 可 以 直接 从 Web 服务 器 上 得 到 动态 网 页 脚本 ,不 受 变 
化 的 内 容 影 响 , 因 而 能 够 像 保护 静态 网 页 一 样 保护 动态 网 页 脚本 。 

(8) 断 线 时 保护 

采用 时 间 轮 询 技术 和 事件 触发 技术 时 ,如 果 攻 击 者 中 断 了 Web 服务 器 和 备份 网 页 服 
务 器 的 连接 ,被 算 改 的 网 页 就 无 法 即时 恢复 ,而 与 此 同时 ,大 量 用 户 有 可 能 访问 到 这 个 网 
页 ,将 造成 严重 后 果 。 

采用 核心 内 内 技术 时 ,即使 攻击 者 中 断 了 Web 服务 器 和 备份 网 页 服务 器 的 连接 ,被 
算 改 网 页 也 不 会 流出 。 


5.3.5 ”网 页 防 算 改 系 统 


网 页 防 自 改 系统 对 网 页 文件 提供 实时 动态 保护 ,对 未 经 授权 的 非法 访问 行为 一 律 进 
行 拦截 ,防止 非法 人 员 自 改 、 删 除 受 保护 的 文件 ,确保 网 页 文件 的 完整 性 。 网 站 服务 器 管 
理 人 员 和 网 站 维护 人 员 通 过 设置 保护 策略 ,指定 网 站 目录 的 保护 属性 ,使 受到 保护 的 目 
录 、 文 件 没 有 经 过 授权 不 能 更 改 和 删除 ,对 未 授权 的 增加 、 修 改 (包括 文件 属性 修改 、 重 命 
名 ,移动 ) 和 删除 行为 进行 报警 。 图 5-7 是 网 页 防 算 改 系统 结构 示意 图 。 
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图 5-7 网 页 防臭 改 系 统 结构 
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网 页 防 自 改 措施 通常 包括 以 下 几 方 面 : 

(1) 给 正常 文件 颁发 通行 证 。 将 正常 的 程序 文件 数量 、 名 称 记录 下 来 并 保存 ,将 每 一 
个 正常 文件 的 MD5 散 列 值 做 成 数字 签名 存 和 数据库; 当 遇 到 攻击 者 修改 主页 、 挂 马 、 提 
交 Webshell 的 时 候 ,由 于 这 些 文件 是 被 修改 过 或 新 提交 的 ,没有 在 数据 库 中 存储 , 则 将 文 
件 删除 或 恢复 即 可 达到 防护 目的 。 

(2) 检测 和 防护 SQL 注入 攻击 。 通 过 过 滤 SQL 危险 字符 ,将 其 进行 无 害 化 编码 或 
者 转 码 ,从 源头 制止 SQL 注入 攻击 ;对 提交 到 Web 服务 器 的 数据 报 进行 过 滤 ,检测 是 否 
含有 eval. wscript. shell. iframe 等 。 

(3) 检测 和 防护 DNS 攻击 。 不 断 在 本 地 用 nslookup( 可 以 查 到 DNS 记录 的 生存 时 
间 ,还 可 以 指定 使 用 哪个 DNS 服务 器 进行 解释 ) 解 析 域 名 ,以 监视 域名 的 指向 是 否 合法 。 

(4) 检测 和 防护 ARP 攻击 。 绑 定 MAC 地 址 ,检测 ARP 攻击 并 过 滤 危 险 的 ARP 数 
据 报 。 

(5) 过 滤 对 Web 服务 器 的 请 求 。 设 置 访问 控制 列表 ,设置 IP 黑 名 单 和 白 名 单 , 过 滤 
非法 访问 后 台 的 IP; 对 Web 服务 器 文件 的 请 求 进行 文件 预 解 析 , 对 比 预 解 析 后 的 文件 与 
原文 件 的 差异 , 若 存在 差异 , 取 源 文件 返回 请 求 方 。 


思 考题 
网 页 臭 改 的 原理 是 什么 ? 
. 攻击 者 常用 的 网 页 繁 改 方式 有 哪些 ? 


.网 页 算 改 防范 技术 有 哪些 ? 每 种 防范 技术 的 优 缺点 有 哪些 ? 
.从 保护 动态 内 容 、 服 务 器 负载 检测 时 间 3 方面 对 网 页 防 自 改 技术 进行 对 比 。 
.网 页 防臭 改 措施 通常 包括 哪些 ? 


am 刁 oo 吓 
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6 = 
第 本。 和 布 式 拒绝 服务 攻击 防护 


分 布 式 拒绝 服务 (Distributed Denial of Service, DDoS) 攻 击 是 一 种 遍布 全 球 的 漏洞 
攻击 方式 ,采用 分 布 、 协 作 的 大 规模 攻击 方式 ,利用 目标 系统 网 络 服务 功能 缺陷 或 者 直接 
消耗 其 系统 资源 ,阻止 目标 为 合法 用 户 提 供 服务 ,对 服务 器 安全 造成 相当 大 的 威胁 。 本 章 
将 介绍 DDoS 攻击 的 原理 ,详细 介绍 DDoS 各 种 攻击 方法 和 防护 手段 。 


.1 DDoS 攻击 原理 





在 信息 安全 的 三 要 素 一 一 保密 性 、 完 整 性 和 可 用 性 中 ,DDoS 攻击 针对 的 正 是 可 用 性 
安全 要 素 。DDoS 攻击 最 早出 现在 1999 年 ,并 在 接 下 来 的 几 年 内 迅速 蔓延 ,目前 DDoS 
攻击 已 经 成 为 使 用 广泛 且 威胁 最 大 的 网 络 安全 问题 之 一 ,至 今 还 没有 一 个 对 其 完美 的 解 
决 方法 。 

分 布 式 拒绝 服务 攻击 是 指 攻击 者 利用 分 布 式 的 客户 端 ,向 服务 提供 者 发 起 大 量 请 求 ， 
消耗 或 者 长 时 间 占 用 大 量 资源 ,从 而 使 合法 用 户 无 法 正常 获得 服务 。DDoS 攻击 不 仅 可 
以 实现 对 某 一 个 具体 目标 (如 Web 服务 器 或 DNS 服务 器 ) 的 攻击 ,而 且 可 以 实现 对 网 络 
基础 设施 (如 路 由 器 等 ) 的 攻击 ,利用 巨大 的 流量 攻击 使 攻击 目标 所 在 的 网 络 基 础 设施 过 
载 ,导致 网 络 性 能 大 幅度 下 降 , 影 响 网 络 所 承载 的 服务 。DDoS 攻击 就 像 一 家 超市 雇用 了 
一 大 和 群 人 堵 在 竞争 对 手 的 大 门口 或 者 让 这 和 群 人 占 满 整个 超市 ,在 每 个 货架 前 不 停 选取 大 
量 的 商品 , 却 不 付款 离开 ,使 得 这 家 超市 的 正常 顾客 无 法 顺利 购买 商品 ,超市 也 无 法 正常 
为 顾客 提供 选 购 商品 及 结账 服务 。 

绝 大 多 数 DDoS 攻击 都 是 从 僵尸 网 络 中 产生 的 。 僵 尸 程序 (Bot) 是 组 成 僵尸 网 络 的 
基础 ,是 用 于 构建 大 规模 攻击 平台 的 恶意 代码 , 它 通常 可 以 自动 执行 预定 义 的 功能 。 伪 尸 
网 络 一 般 指 僵尸 主人 (Botmaster) 出 于 恶意 目的 传播 大 量 僵尸 程序 ,并 采用 一 对 多 方式 进 
行 控 制 的 大 型 网 络 。 按 照 使 用 的 通信 协议 ,僵尸 网 络 可 进一步 分 为 IRC 型 僵尸 网 络 、 
HTTP 型 僵尸 网 络 、P2P 型 僵尸 网 络 和 其 他 僵尸 网 络 四 类 。 

IRC 型 僵尸 网 络 是 出 现 最 早 ,数量 最 大 的 僵尸 网 络 。 它 最 大 的 特点 是 利用 IRC 协议 
构造 命令 与 控制 信道 ,交互 性 好 ,容易 创建 ,采用 一 个 服务 器 能 轻易 创建 和 控制 多 台 僵 尸 
主机 。 不 过 这 种 控制 方式 存在 单 点 失效 问题 , 即 一 旦 中 央 服 务 器 被 关闭 ,僵尸 程序 会 因 失 
去 与 C&CCCommand and Control ,命令 与 控制 ) 服 务 器 的 通信 而 灭亡 。 

HTTP 型 僵尸 网 络 规模 往往 不 大 :但 攻击 活动 异常 频繁 。 相 比 于 IRC 型 僵尸 网 络 ， 
HTTP 型 僵尸 网 络 在 端口 选择 以 及 信道 的 加 密 解 密 方 面 有 更 大 的 灵活 性 。 虽 然 大 多 数 
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的 HTTP 型 僵尸 网 络 的 通信 端口 默认 选择 80, 但 由 于 C&C 服务 器 多 由 控制 者 搭建 , 端 
口 设 定 可 以 由 控制 者 改变 。 使 用 HTTP 构建 的 信道 可 以 更 容易 让 僵尸 网 络 的 控制 流量 
淹没 在 大 量 的 Web 通信 中 ,从 而 使 得 基于 HTTP 的 僵尸 网 络 活动 更 难以 被 检测 出 来 。 

P2P 网 络 又 称 对 等 网 络 , 在 此 网 络 中 ,网 络 节点 既 可 以 作为 客户 端 向 P2P 网 络 中 的 
其 他 节点 请 求 服务 ,也 可 以 作为 服务 器 为 提出 请 求 的 网 络 节点 服务 。 相 比 于 前 两 种 僵尸 
网 络 ,P2P 型 僵尸 网 络 中 充当 服务 器 的 节点 不 再 单一 ,攻击 者 可 以 通过 网 络 中 任 一 节点 控 
制 整个 僵尸 网 络 。 

攻击 者 为 了 隐藏 自己 ,防止 被 跟踪 和 定位 ,以 及 加 大 攻击 力度 ,往往 采用 3 层 结构 ; 
攻击 者 ,中间 层 和 目标 主机 。 中 间 层 包含 主 控 端 和 代理 端 ,是 一 个 庞大 的 僵尸 网 络 。 攻 击 
者 向 各 个 主 控 端 发 布 命令 之 后 ,就 可 以 断 开 与 僵尸 网 络 的 连接 ,之 后 主 控 端 把 攻击 命令 发 
送 到 各 个 代理 端 ,由 各 个 代理 端 执行 攻击 命令 ,向 目标 主机 发 出 大 量 的 服务 请 求 , 耗 尽 其 
网 络 带宽 ,系统 或 者 应 用 资源 ,造成 其 拒绝 服务 。 图 6-1 是 常见 的 DDoS 攻击 模式 。 

代理 端 





攻击 者 际 主机 











主 控 端 
中 间 层 


图 6-1 DDoS 攻击 模式 


DDoS 的 攻击 过 程 一 般 分 为 4 步 : 

(1) 入 侵 传播 。 攻 击 者 通过 漏洞 或 木马 技术 入 侵 主 控 端 ,获得 主机 的 登录 权限 。 在 
成 功 入 侵 后 ,通过 网 络 监听 、 漏 洞 扫描 等 方法 进一步 扩充 入 侵 的 主机 群 。 

(2) 安装 执行 。 在 入 侵 的 主机 上 安装 攻击 软件 。 攻 击 软 件 一 旦 在 受害 主机 上 执 
行 ,就 会 进行 一 系列 自我 复制 .实现 自 启动 以 及 隐藏 等 行为 。 攻 击 软件 包括 主 控 程 序 
和 代理 程序 ,为 了 避免 检测 ,多 数 程序 都 进行 了 免 杀 处 理 。 主 控 程序 仅 占 总 数 的 很 小 
一 部 分 ,设置 主 控 程序 的 目的 是 隔离 网 络 联系 ,保护 攻击 者 ,使 其 不 会 在 攻击 过 程 中 受 
到 监控 系统 的 跟踪 ,同时 也 能 更 好 地 协调 进攻 ;参与 攻击 的 其 余 主 机 都 被 用 来 运行 代 
理 程 序 , 代 理 程 序 都 是 一 些 相 对 简单 的 程序 ,它们 可 以 连续 向 目标 主机 发 出 大 量 的 请 
求 而 不 作 任何 回答 。 
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(3) 命令 发 布 。 攻 击 者 向 各 个 主 控 程序 发 出 对 特定 目标 的 攻击 指令 , 主 控 程 序 再 将 
指令 发 送 到 各 个 代理 程序 。 由 于 攻击 主 控制 台 的 位 置 非常 灵活 ,而且 发 送 指令 的 时 间 很 
短 , 所 以 非常 隐蔽 ,难以 定位 。 一 旦 攻击 指令 发 送 到 主 控 程序 ,攻击 主 控 制 台 就 可 以 关闭 
或 脱离 网 络 以 逃避 追踪 。 

(4) 命令 执行 。 当 主 控 程序 接 到 攻击 指令 后 ,每 个 代理 程序 开始 向 目标 主机 发 出 大 
量 的 服务 请 求 数据 报 。 这 些 数 据 报 经 过 伪装 ,无 法 识别 它 的 来 源 。 而 且 , 这 些 数 据 报 所 请 
求 的 服务 往往 要 消耗 较 大 的 系统 资源 ,如 CPU 或 网 络 带宽 。 若 数 百 个 甚至 上 千 个 代理 
端 同 时 攻击 一 个 目标 主机 ,就 会 导致 目标 主机 网 络 或 系统 资源 耗 尽 。 另 外 ,这 些 数据 报 还 
可 阻塞 防火 墙 和 路 由 器 等 网 络 设备 ,进一步 加 剧 网 络 拥塞 。 更 严重 的 是 ,由 于 攻击 者 所 用 
的 协议 都 是 一 些 常见 协议 ,导致 系统 管理 员 难 以 区 分 恶意 请 求 和 正常 请 求 ,从 而 无 法 有 效 
分 离 出 攻击 数据 包 。 

在 DDoS 攻击 中 , 当 网 站 或 服务 器 被 攻击 者 攻击 后 ,即使 每 个 攻击 的 数据 包 都 有 显示 
数据 包 来 源 的 IP 地 址 ,仍然 难以 跟踪 到 攻击 的 来 源 ,这 是 因为 攻击 者 使 用 了 伪 IP(IP 
spoofing) 技 术 。 

当 计 算 机 之 间 相 互通 信 时 会 将 信息 打 成 包 ,每 一 个 包 中 都 包含 源 IP 地 址 和 目的 了 
地 址 , 当 这 样 的 数据 包 在 Internet 中 传递 的 时 候 ,首先 会 遇 到 最 近 的 一 个 路 由 器 ,通常 
此 路 由 器 是 此 局 域 网 与 Internet 的 连接 处 ,这 种 路 由 器 叫 作 边界 路 由 器 。 当 数据 包 到 
达 边 界 路 由 器 后 ,再 由 此 路 由 器 传递 到 上 一 级 核心 路 由 器 上 ,这 个 路 由 器 可 能 位 于 主 
干 网 上 ,连接 着 所 有 其 他 的 核心 路 由 器 。 数 据 包 在 路 由 器 之 间 传 递 ,直到 目的 地 为 止 。 
在 每 次 传递 时 , 源 IP 地 址 通常 被 路 由 器 忽略 ,仅仅 是 保留 在 数据 包 中 不 做 处 理 ,路 由 器 
只 关心 数据 的 目的 地 址 ,就 好 像 邮 递 员 只 关心 收 件 人 地 址 一 样 。 大 部 分 的 DDoS 攻击 
都 使 用 伪 IP, 收 到 此 数据 包 的 第 一 个 边界 路 由 器 如 果 进 行 检查 ,能够 很 容易 地 发 现 这 
个 问题 ,因为 它 知道 和 它 连 接 的 网 络 地 址 ,以 便 将 进来 的 数据 包 分 发 给 局 域 网 内 的 主 
机 ,因此 它 也 能 发 现 从 它 这 里 发 送出 去 的 数据 包 是 不 是 用 了 非 局 域 网 内 的 地 址 ,但 大 
多 数 的 边界 路 由 器 并 不 进行 检查 ,而 一 旦 使 用 伪 IP 的 数据 包 通 过 了 第 一 个 路 由 器 , 那 
么 这 个 伪 了 将 难以 在 后 续 传 输 过 程 中 被 发 现 ,因此 才 产 生 了 现在 面临 的 难以 追踪 攻击 
来 源 的 问题 。 


6 3 DDoS 攻击 现象 与 特点 





1. 攻击 现象 

2016 年 10 月 ,大 半 个 美国 的 用 户 都 遭遇 了 一 次 集体 * 断 网 ?事件 ,根据 用 户 反 馈 , 包 
插 Twitter、Spotify、Netflix、Github、Airbnb、Visa、CNN、 华 尔 街 日 报 等 在 内 的 上 百 家 网 
站 都 无 法 访问 。 此 次 “ 断 网 ”事件 是 由 于 美国 最 主要 的 DNS 服务 商 Dyn 遭遇 了 大 规模 
DDoS 攻击 所 致 ,攻击 行为 来 自 超过 1000 万 个 IP 来源。 由 于 Dyn 的 主要 职责 就 是 将 域 
名 解析 为 IP 地 址 ,从 而 准确 跳 转 到 用 户 想 要 访问 的 网 站 ,所 以 当 其 遭受 攻击 时 ,来 自用 户 
的 网 页 访问 请 求 无 法 被 正确 解析 ,从 而 导致 访问 错误 。 
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此 次 Dyn 遭受 的 攻击 是 由 被 控制 的 海量 物 联 网 终端 设备 发 起 的 DDoS 攻击 。 通 常 
僵尸 网 络 由 大 量 功能 节点 组 成 ,节点 有 普通 PC 服务 器 和 移动 设备 3 种 。 与 普通 PC 相 
比 , 物 联网 设备 的 安全 防范 能 力 较 差 ,而 且 随 着 各 种 设备 的 计算 能 力 、 网 络 带宽 和 数量 的 
不 断 增 长 , 物 联 网 设备 的 性 能 对 于 用 来 发 动 攻击 的 僵尸 程序 来 说 绰绰有余 ,因此 以 物 联 网 
终端 设备 作为 节点 的 僵尸 网 络 正 逐渐 成 为 新 的 安全 威胁 。 

DDoS 攻击 的 现象 有 以 下 5 种 : 

(1) 被 攻击 主机 上 有 大 量 等 待 的 TCP 连接 。 

(2) 网 络 中 充斥 着 大 量 的 无 用 数据 包 。 

(3) 源 地 址 为 假 , 制 造 高 流量 无 用 数据 ,造成 网 络 拥塞 ,使 目标 主机 无 法 正常 和 外 界 
通信 。 

(4) 利用 目标 主机 提供 的 传输 协议 上 的 缺陷 ,反复 高 速 地 发 出 特定 的 服务 请 求 ,使 目 
标 主机 无 法 处 理 所 有 正常 请 求 。 

(5) 利用 目标 主机 提供 的 服务 在 数据 处 理 方式 上 的 缺陷 ,反复 发 送 畸 形 数据 ,引发 服 
务 程序 错误 ,大 量 占用 系统 资源 ,使 目标 主机 处 于 假死 状态 甚至 死机 。 


2. 攻击 特点 

与 其 他 攻击 形式 相 比 ,DDoS 攻击 主要 表现 出 以 下 特点 : 

(1) 分 布 式 。 在 DDoS 攻击 中 ,攻击 者 不 再 是 单独 一 人 ,而 是 通过 操控 一 个 精心 组 织 
的 僵尸 网 络 来 发 起 协同 攻击 ,改变 了 传统 的 点 对 点 的 攻击 模式 ,使 攻击 方式 出 现 了 没有 规 
律 的 情况 。 分 布 式 的 特点 不 仅 增强 了 攻击 的 威力 ,而 且 加 大 了 抵御 攻击 的 难度 ,这 在 以 往 
的 攻击 方法 中 是 比较 少见 的 。 

(2) 使 用 欺骗 技术 ,难以 追踪 。 攻 击 者 在 进行 攻击 的 时 候 ,攻击 数据 包 都 是 经 过 伪装 
的 , 源 IP 地 址 也 是 伪造 的 ,以 此 达到 隐蔽 攻击 源头 的 目的 ,这 样 就 很 难 对 攻击 进行 IP 地 
址 的 确定 ,在 查找 攻击 来 源 方面 也 是 很 难 的 ,因此 仅 靠 传统 的 防御 措施 很 难 追 踪 这 种 
攻击 。 

(3) 发 起 攻击 容易 。 由 于 现成 的 DDoS 攻击 工具 在 网 络 上 泛滥 成 灾 , 且 易 用 性 不 断 
地 提高 ,因此 攻击 者 不 需要 太 深 的 专业 知识 就 可 以 从 网 络 上 下 载 工 具 发 起 攻击 ,这 一 点 从 
现在 的 攻击 者 越 来 越 低龄 化 即 可 见 一 斑 。 

(4) 攻击 特征 不 明显 。 现 在 越 来 越 多 的 DDoS 攻击 采用 合法 的 攻击 请 求 ,这 些 报 文 
没有 明显 的 特征 ,通常 使 用 的 也 是 常见 的 协议 和 服务 ,只 从 协议 和 服务 的 类 型 上 是 很 难 对 
攻击 进行 区 分 的 ,因此 很 难 被 防御 系统 识别 。 而 且 ,DDoS 攻击 的 分 布 式 特性 也 决定 了 攻 
击 流 在 攻击 源头 可 以 做 到 很 小 ,可 以 隐藏 在 正常 报 文 流 中 ,不 易 及 时 发 现 。 

(5) 威力 强大 ,破坏 严重 ,难以 防御 。DDoS 攻击 由 于 通过 组 织 大 规模 的 僵尸 网 络 发 
起 攻击 ,所 以 经 过 汇聚 后 到 达 受 害 者 的 攻击 流 可 能 非常 庞大 ,造成 目标 主机 的 网 络 或 系统 
资源 耗 尽 ,甚至 还 可 阻塞 防火 墙 和 路 由 器 等 网 络 设 备 ,进一步 加 剧 网 络 拥塞 。 攻 击 者 在 进 
行 攻击 的 时 候 可 以 使 用 随机 的 端口 ,通过 数 千 个 端口 对 攻击 的 目标 发 送 大 量 的 数据 包 ; 也 
可 以 使 用 固定 的 端口 ,向 同一 个 端口 发 送 大 量 的 数据 包 。 
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6.3 DDoS 攻击 方式 


从 不 同 角度 ,DDoS 攻击 的 方法 有 不 同 的 分 类 标准 。 根 据 攻击 消耗 的 目标 资源 可 以 
将 DDoS 攻击 分 为 3 类 : 攻击 网 络 带宽 资源 攻击 系统 资源 和 攻击 应 用 资源 。 


6.3.1 攻击 网 络 带宽 资源 


互联 网 是 由 大 量 的 网 络 设 备 将 大 量 终 端 连接 起 来 所 组 成 的 一 个 庞大 的 网 络 , 如 果 想 
获取 某 台 服务 器 上 的 服务 资源 , 则 需要 将 请 求 数据 通过 特定 链 路 传输 到 这 人 台 服 务 器 上 。 

以 超市 为 例 , 如 果 客 人 想 买 东西 ,就 需要 知道 超市 的 位 置 ,并 且 进 入 超市 。 但 是 ,如 果 
超市 人 太 多 或 者 超市 门口 发 生 了 拥堵 或 交通 管制 ,客人 就 无 法 进入 超市 ,也 就 无 法 得 到 服 
务 , 即 购买 商品 。 与 之 类 似 ,无 论 是 服务 器 的 网 络 接口 带宽 还 是 路 由 器 .交换 机 等 互联 网 
基础 设施 ,其 数据 包 处 理 能 力 都 存在 上 限 , 当 到 达 或 通过 的 网 络 数 据 包 数量 超过 此 上 限 
时 ,就 会 出 现 网 络 拥堵 、 响 应 缓慢 的 情况 。 消 耗 网 络 带宽 资源 的 DDoS 攻击 就 是 根据 这 个 
原理 ,利用 僵尸 网 络 发 送 大 量 的 网 络 数据 包 , 占 满目 标 主 机 的 全 部 带宽 ,从 而 使 正常 的 请 
求 无 法 得 到 及 时 、 有 效 的 响应 ,造成 服务 器 拒绝 服务 。 


1. 直接 攻击 
攻击 者 使 用 大 规模 的 僵尸 网 络 直接 向 目标 主机 发 送 大 量 的 网 络 数据 包 , 以 占 满目 标 
主机 的 带宽 ,并 消耗 服务 器 和 网 络 设备 的 数据 处 理 能 力 , 如 图 6-2 所 示 。 
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受 控 主 机 aE 受 控 主 机 
图 6-2 直接 攻击 


直接 攻击 的 主要 方法 有 ICMP/IGMP 洪水 攻击 和 UDP 洪水 攻击 两 种 。 

1) ICMP/IGMP 洪水 攻击 

因特网 控制 消息 协议 (Internet Control Message Protocol,ICMP) 是 TCP/IP 协议 族 
的 核心 协议 之 一 , 它 用 于 在 IP 主机 、 路 由 器 之 间 传 递 控制 消息 ,提供 可 能 发 生 在 通信 环境 
中 的 各 种 问题 的 反馈 ,例如 网 络 通 不 通 、 主 机 是 否 可 达 、 路 由 是 否 可 用 等 。 管 理 者 可 以 通 
过 这 些 控制 消息 对 发 生 的 问题 作出 判断 ,然后 采取 适当 的 措施 。 

因特网 组 管理 协议 (Internet Group Management Protocol, IGMP) 是 用 于 管理 因 特 
网 协议 多 播 组 成 员 的 一 种 通信 协议 。IP 主机 和 相 邻 的 路 由 器 利用 IGMP 来 建立 多 播 组 
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的 组 成 员 。 

攻击 者 使 用 僵尸 网 络 向 目标 主机 发 送 大 量 的 ICMP/IGMP 报 文 ,进行 洪水 攻击 以 消 
耗 目标 的 带宽 资源 。 不 过 现在 这 种 攻击 已 经 很 少见 ,因为 目标 主机 可 以 直接 在 网 络 边 界 
过 滤 并 丢弃 ICMP/IGMP 数据 包 , 使 攻击 无 效 化 。 

2) UDP 洪水 攻击 

用 户 数 据 报 协议 (User Datagram Protocol,UDP) 是 一 种 面向 无 连接 的 传输 层 协议 ， 
主要 用 于 不 要 求 分 组 按 顺 序 到 达 的 传输 ,提供 面向 事务 的 简单 、 不 可 靠 信 息 传送 服务 。 
UDP 洪水 攻击 和 ICMP 洪水 攻击 的 原理 基本 相同 ,很 多 工具 都 能 够 发 动 UDP 洪水 攻击 ， 
如 hping、LOIC 等 。 但 UDP 洪水 攻击 完全 依靠 僵尸 网 络 本 身 的 网 络 性 能 ,因此 对 攻击 目 
标 带 宽 资 源 的 消耗 并 不 太 大 。 

通常 攻击 者 使 用 小 包 和 大 包 两 种 方式 进行 攻击 。 

小 包 是 指 64B 大 小 的 数据 包 , 这 是 以 太 网 上 传输 数据 帧 的 最 小 值 。 在 相同 流量 下 ， 
单 包 越 小 ,数据 包 的 数量 就 越 多 。 由 于 交换 机 、 路 由 器 等 网 络 设备 需要 对 每 一 个 数据 包 进 
行 检查 和 校 验 ,因此 使 用 UDP 小 包 攻 击 能 够 有 效 地 增 大 网 络 设备 处 理 数 据 包 的 压力 , 造 
成 处 理 速度 的 缓慢 和 传输 延迟 等 拒绝 服务 攻击 的 效果 。 

大 包 是 指 1500B 以 上 的 数据 包 , 其 大 小 超过 了 以 太 网 的 最 大 传输 单元 (Maximum 
Transmission Unit, MTU) 。 使 用 UDP 大 包 攻 击 ,能 够 有 效 地 占用 网 络 接口 的 传输 带宽 ,并 
迫使 目标 主机 在 接收 到 UDP 数据 包 时 进行 分 片 重组 ,造成 网 络 拥堵 ,服务 器 响应 速度 变 慢 。 


2. 反射 攻击 和 放大 攻击 

直接 攻击 的 方法 虽然 简单 ,但 是 低 效 ,容易 被 查 到 攻击 来 源 。 反 射 攻击 又 称 为 分 布 式 
反射 拒绝 服务 (Distributed Reflection Denial of Service,DRDoS) ,是 指 发 送 大 量 带 有 目标 
主机 IP 地 址 的 数据 包 给 攻击 主机 ,然后 攻击 主机 对 IP 地 址 源 做 出 大 量 回应 ,从 而 反射 攻 
击 流量 并 隐藏 攻击 来 源 的 一 种 技术 。 

在 进行 反射 攻击 时 ,攻击 者 使 用 僵尸 网 络 发 送 大 量 的 数据 包 , 这 些 数据 包 的 目的 IP 
地 址 指向 作为 反射 器 的 服务 器 和 路 由 器 等 设备 ,而 源 IP 地 址 则 被 伪造 成 目标 主机 的 IP 
地 址 。 反 射 器 在 收 到 这 些 数据 包 后 ,会 认为 该 数据 包 是 由 目标 主机 发 来 的 请 求 , 因 此 会 将 
响应 数据 发 送 给 目标 主机 , 当 大 量 的 响应 数据 涌 向 目标 主机 时 ,就 会 耗 尽 目标 主机 的 网 络 
带宽 资源 ,造成 拒绝 服务 攻击 的 效果 。 

发 动 反射 攻击 重要 的 一 步 是 在 互联 网 上 找到 大 量 的 反射 器 。 例 如 ,对 于 ACK 反射 
攻击 ,只 需要 找到 互联 网 上 开放 TCP 端口 的 服务 器 即 可 ,而 这 种 服务 器 在 互联 网 上 的 存 
在 是 非常 广泛 的 。 发 动 反射 攻击 通常 会 使 用 无 须 认证 或 握手 的 协议 。 因 为 反射 攻击 需要 
将 请 求 数 据 的 源 IP 地 址 伪造 成 目标 主机 的 IP 地 址 ,如 果 使 用 的 协议 需要 进行 认证 或 者 
握手 , 则 该 认证 或 握手 过 程 没有 办 法 完成 ,也 就 不 能 进行 下 一 步 的 攻击 。 因 此 , 绝 大 多 数 
的 反射 攻击 都 是 使 用 基于 UDP 协议 的 网 络 服务 进行 的 。 相 比 于 直接 攻击 ,反射 攻击 由 
于 增加 了 一 个 反射 步骤 ,因此 更 难 追 溯 攻 击 来 源 。 

反射 攻击 更 加 严重 的 影响 在 于 利用 反射 原理 进行 的 放大 攻击 。 

放大 攻击 是 一 种 特殊 的 反射 攻击 ,其 特殊 之 处 在 于 反射 器 对 于 网 络 流量 具有 放大 作 
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用 ,因此 也 可 以 将 这 种 反射 器 称 为 放大 器 。 进 行 放大 攻击 的 方式 与 反射 攻击 基本 一 致 ,不 
同 之 处 在 于 反射 器 所 提供 的 网 络 服务 需要 满足 一 定 条 件 : 在 反射 器 提供 的 网 络 服务 协议 
中 ,需要 存在 请 求 和 响应 数据 量 不 对 称 的 情况 ,响应 数据 量 需 要 大 于 请 求 数据 量 。 响 应 数 
据 量 与 请 求 数据 量 的 比值 越 大 ,放大 器 的 放大 倍数 也 就 越 大 ,进行 放大 攻击 所 产生 的 消耗 
带宽 资源 的 效果 也 就 越 明 显 。 

1) ACK 反射 攻击 

传输 控制 协议 (Transmission Control Protocol,TCP) 建 立 连接 时 ,首先 会 进行 TCP 
三 次 握手 。 在 这 个 过 程 中 , 当 服 务 器 端 接收 到 客户 端 发 来 的 SYN 连接 请 求 时 ,会 对 该 请 
求 进行 ACK 应 答 。 如 果 攻 击 者 将 SYN 请 求 的 源 IP 地 址 伪造 成 目标 主机 的 IP 地 址 , 服 
务 器 的 应 答 也 就 会 直接 发 送 给 目标 主机 。 由 于 使 用 TCP 的 服务 在 互联 网 上 广泛 存在 , 攻 
击 者 可 以 通过 僵尸 网 络 向 大 量 不 同 的 服务 器 发 送 伪造 源 IP 地 址 的 SYN 请 求 , 从 而 使 服 
务 器 响应 的 大 量 响应 数据 涌 向 目标 主机 ,占用 目标 主机 的 网 络 带宽 资源 并 造成 拒绝 服务 
攻击 的 效果 。 图 6-3 为 ACK 反射 攻击 流程 。 


伪造 源 IP 地 址 的 SYN 一 一 一 ~ 国 ， 
造 源 IP 地 址 的 SYN 最 响应 
伪造 源 IP 地 司 大 量 响应 数据 - 


受 控 主 机 . 服务 器 


9 至 有 同人 


服务 器 
图 6-3 ACK 反射 攻击 流程 




















2) DNS 放大 攻击 

域名 系统 (Domain Name System,DNS) 是 因特网 的 一 项 核心 服务 , 它 是 一 个 将 域名 
和 IP 地 址 相 呼 应 的 一 个 分 布 式 数据 库 ,让 人 们 不 需要 记 住 那些 难以 记忆 的 IP 地 址 ,就 可 
以 轻松 访问 互联 网 。 通 常 攻击 者 发 送 的 DNS 查询 请 求 数据 包 大 小 一 般 在 60B 左右 ,而 
查询 返回 结果 的 数据 包 大 小 通常 在 3000B 以 上 , 即 DNS 响应 数据 包 会 比 查 询 数据 包 大 ， 
因此 可 以 利用 此 特性 进行 DNS 放大 攻击 。 

图 6-4 为 DNS 放大 攻击 流程 。 攻 击 者 向 广泛 存在 的 开放 DNS 解析 器 发 送 dig( 域 信 
息 查 询 ) 命 令 , 将 OPT RR 字段 中 的 UDP 报 文 大 小 设 为 很 大 的 值 (如 4096) ,并 将 查询 请 
求 的 源 IP 地 址 伪造 成 目标 主机 的 IP 地 址 。DNS 解析 器 收 到 查询 请 求 后 ,会 将 解析 的 结 
果 发 送 给 目标 主机 ,造成 网 络 拥堵 。 
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伪造 源 了 地 址 的 dis 查 询 三 数据 























开放 DNS 解析 器 CS 
伪造 尖 [p 地 址 的 di 查询 置 大 量 响应 数据 有 
受 控 主机 | 开放 DNS 解析 器 
伪造 演 P 地 址 的 dis 查 询 大 量 响 应 数据 
= - 旧 一 
开放 DNS 解 怕 器 


6-4 DNS 放大 攻击 流程 


3) NTP 放大 攻击 

网 络 时 间 协 议 ( Network Time Protocol, NTP) 是 用 来 使 计算 机 时 间 同 步 化 的 一 种 
协议 , 它 可 以 使 计算 机 与 时 钟 源 同步 并 提供 高 精准 度 的 时 间 校 正 , NTP 使 用 UDP 123 端 
口 进行 通信 。 图 6-5 为 NTP 放大 攻击 流程 。 


伪造 源 IP 地 址 的 monlist 请 求 “~ 于 0 


NTP 服 务 器 


造 源 IP 地 址 的 monlist 请 求 向 应 
伪造 源 中 地 址 的 monlisti 冒 大 量 响应 数据 上" We 


受 控 主 机 NTP 服 务 器 




















伪造 源 下 地 址 的 monlist 请 求 大 量 响应 数据 
2 


NTP 服 务 器 
图 6-5 NTP 放大 攻击 流程 


在 NTP 协议 的 服务 器 实现 上 ,通常 会 实现 一 系列 Mode 7 的 调试 接口 ,而 接口 中 的 
monlist 请 求 能 够 获取 与 目标 NTP 服务 器 同步 的 最 后 600 个 客户 端的 IP 地 址 等 信息 。 
这 意味 着 ,只 需要 发 送 一 个 很 小 的 请 求 包 ,就 能 够 触发 大 量 连续 的 包含 IP 地 址 信息 等 数 
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据 的 响应 数据 包 。 


6.3.2 攻击 系统 资源 


当 顾 客 走 进 超 市 后 ,他 首先 需要 挑选 商品 ,然后 去 收银 台 付 费 。 如 果 顾 客 进 门 时 发 现 
收银 台 前 已 经 排 起 了 长 龙 ,那么 他 就 很 有 可 能 直接 离开 ,或 者 在 排队 的 过 程 中 由 于 等 待 得 
不 耐烦 而 离开 ,并 选择 男 一 家 超市 购物 。 互 联网 也 如 此 ,终端 设备 在 与 服务 器 进行 通信 时 
需要 创建 会 话 连 接 , 在 这 个 过 程 中 会 使 用 TCP 和 SSL 等 协议 。 在 会 话 创建 的 初始 阶段 ， 
服务 器 需要 为 新 建立 的 连接 分 配 资源 ;在 会 话 过 程 中 ,服务 器 需要 维护 并 更 新 连接 的 状 
态 ,并 进行 数据 传输 和 交互 ;在 会 话 结束 之 后 ,这 些 连接 资源 才 会 被 释放 。 这 些 会 话 连接 
就 像 超 市 收银 台 ,一 旦 被 占 满 , 新 进入 的 会 话 请 求 就 必须 等 待 前 面 的 会 话 完成 。 消 耗 系统 
资源 的 分 布 式 拒绝 服务 攻击 的 主要 目的 就 是 对 系统 维护 的 连接 资源 进行 消耗 和 占用 , 阻 
止 正常 连接 的 建立 ,从 而 达到 拒绝 服务 攻击 的 目的 。 


1. 攻击 TCP 连接 

TCP 是 一 种 面向 连接 的 ,可靠 的 、 基 于 字 节 流 的 传输 层 通 信 协 议 。TCP 连接 包括 3 
个 阶段 : 连接 创建 .数据 传送 和 连接 中 止 。 由 于 TCP 设计 时 间 久 远 , 没 有 对 协议 的 安全 
性 进行 比较 周密 的 考虑 ,攻击 者 常 利用 TCP 的 安全 漏洞 进行 攻击 。 

1) TCP 连接 洪水 攻击 

这 种 攻击 方法 是 在 连接 创建 阶段 对 TCP 资源 进行 攻击 。 在 三 次 握手 进行 的 过 程 中 ， 
服务 器 会 创建 并 保存 TCP 连接 的 信息 ,这 个 信息 通常 被 保存 在 连接 表 中 。 但 是 ,连接 表 
的 大 小 是 有 限 的 ,一旦 服务 器 接收 到 的 连接 数量 超过 了 连接 表 能 存储 的 数量 ,服务 器 就 无 
法 创建 新 的 TCP 连接 了 ,如 图 6-6 所 示 。 
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图 6-6 ”TCP 连接 洪水 攻击 流程 
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攻击 者 可 以 利用 大 量 受 控 主 机 ,通过 快速 建立 大 量 恶意 的 TCP 连接 占 满 被 攻击 目标 
的 连接 表 , 使 目标 主机 无 法 接受 新 的 TCP 连接 请 求 , 从 而 达到 拒绝 服务 攻击 的 目的 。 

2) SYN 洪水 攻击 

这 种 攻击 方法 是 DDoS 攻击 中 最 经 典 、 有 效 的 一 种 ,直到 现在 SYN 洪水 攻击 仍然 是 
DDoS 攻击 的 主要 方法 。 其 主要 原理 是 基于 虚假 IP 地 址 进行 欺骗 请 求 ,蓄意 入 侵 三 次 握 
手 并 打开 大 量 半 开 TCP/IP 连接 。 服 务 器 的 内 存 中 有 一 个 内 建 的 数据 结构 ,描述 了 所 有 
挂 起 的 连接 ,但 它 的 容量 有 限制 ,如 果 被 填 满 ,系统 就 不 能 再 接受 进来 的 新 连接 ,直到 数据 
表 被 清空 。 一 般 挂 起 的 连接 都 有 时 间 限制 ,时 间 一 到 , 半 开 连接 就 会 过 期 ,同时 服务 器 系 
统 恢复 正常 。 但 是 ,攻击 者 能 以 比 目 标 主 机 挂 起 的 连接 失效 更 快 的 速度 发 送 伪造 的 IP 数 
据 包 ,请 求 新 的 连接 ,攻击 者 可 利用 此 特性 发 动 攻击 。 

攻击 者 向 目标 主机 发 送 看 起 来 合法 的 SYN 消息 ,而 实际 上 源 IP 地 址 是 不 存在 的 。 
这 样 , 当 目 标 主机 向 源 IP 地 址 返回 确认 信息 (SYN 十 ACK) 后 ,将 无 法 得 到 返回 的 ACK 
消息 ,目标 主机 就 会 认为 自己 发 送 的 数据 包 丢 失 , 然 后 会 不 断 地 发 送 确认 数据 包 直 至 超 
时 ,这 些 伪 造 的 SYN 包 将 长 时 间 占 用 未 连接 队列 ,正常 的 SYN 请 求 被 丢弃 ,使 目标 系统 
运行 缓慢 ,严重 者 还 会 引起 网 络 堵塞 甚至 系统 瘫痪 。 图 6-7 显示 了 SYN 洪水 攻击 流程 。 
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图 6-7 SYN 洪水 攻击 流程 


少量 的 这 种 攻击 就 会 导致 主机 服务 器 无 法 访问 ,并 且 在 服务 器 上 用 netstat -na 命令 
可 观察 到 大 量 的 SYN_RECEIVED 状态 ;大 量 的 这 种 攻击 会 导致 ping 失败 TCP/IP 栈 
失效 ,并 会 出 现 系 统 凝 固 现象 , 即 不 响应 键盘 和 和 鼠标。 不 过 这 种 攻击 实施 起 来 有 一 定 难 
度 ,需要 高 带宽 的 僵尸 主机 支持 。 
3) RST 洪水 攻击 
在 TCP 连接 的 终止 阶段 ,通常 是 通过 带 有 FIN 标志 报 文 的 四 次 交互 (TCP 四 次 挥 
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手 ) 来 切断 客户 端 与 服务 器 的 TCP 连接 。 但 是 当 客 户 端 或 服务 器 其 中 之 一 出 现 异 常 状 

况 ,无 法 正常 地 完成 TCP 四 次 挥手 以 终止 连接 时 ,就 会 使 用 RST 报 文 将 连接 强制 中 断 。 
RST 洪水 攻击 是 针对 用 户 的 拒绝 攻击 方式 。 这 种 攻击 常 被 用 来 攻击 在 线 游戏 或 比 

赛 的 用 户 ,从 而 影响 比赛 的 结果 并 获得 一 定 的 经 济 利益 。 图 6-8 为 RST 洪水 攻击 流程 。 
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6-8 RST 洪水 攻击 流程 


4) Sockstress 攻击 

研究 人 员 在 2008 年 提出 了 Sockstress 攻击 方法 。 与 前 面 几 种 方法 不 同 的 是 ， 
Sockstress 攻击 不 需要 在 短 时 间 内 发 送 大 量 的 攻击 流量 ,是 一 种 慢 速 攻击 。 

在 TCP 传输 数据 时 ,并 不 是 将 数据 直接 递交 给 应 用 程序 处 理 , 而 是 先 临时 存储 在 接 
收 缓冲 区 中 ,该 接收 缓冲 区 的 大 小 是 由 TCP 窗口 表示 的 。 如 果 TCP 窗口 大 小 为 0, 则 表 
示 接 收 缓冲 区 已 被 填 满 ,发 送 端 应 该 停止 发 送 数 据 ,直到 接收 端的 窗口 发 生 了 更 新 。 
Sockstress 攻击 就 是 利用 该 原理 长 时 间 地 维持 TCP 连接 ,以 达到 拒绝 服务 攻击 的 目的 。 

Sockstress 攻击 首先 完成 TCP 三 次 握手 以 建立 TCP 连接 ,但 是 在 三 次 握手 的 最 后 
一 次 ACK 应 答 中 ,攻击 者 将 其 TCP 窗口 大 小 设置 为 0, 随 后 进行 一 次 数据 请 求 。 目 标 主 
机 在 传输 数据 时 ,发 现 接 收 端的 TCP 窗口 大 小 为 0, 就 会 停止 传输 数据 ,并 发 出 TCP 窗 
口 探测 包 ,询问 攻击 者 其 TCP 窗口 是 否 有 更 新 。 由 于 攻击 者 没有 更 改 TCP 窗口 的 大 小 ， 
目标 主机 就 会 一 直 维持 TCP 连接 ,等 待 数据 发 送 , 并 不 断 进 行 窗口 更 新 的 探测 。 如 果 攻 
击 者 利用 大 量 的 僵尸 网 络 进行 Sockstress 攻击 ,目标 主机 会 一 直 维 持 大 量 的 TCP 连接 并 
进行 大 量 的 窗口 更 新 探测 ,其 TCP 连接 表 会 逐渐 耗 尽 ,无 法 接受 新 的 连接 而 导致 拒绝 服 
务 。 图 6-9 为 Sockstress 攻击 流程 。 


2. 攻击 SSL 连接 
安全 套 接 层 (Secure Sockets Layer,SSL) 是 为 网 络 通信 提供 安全 及 数据 完整 性 的 一 
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种 安全 协议 。SSL 能 够 在 传输 层 对 网 络 连接 进行 加 密 , 以 防止 传输 的 数据 明文 被 监听 或 
截获 。 然 而 在 SSL 协议 加 解密 和 密 钥 协商 的 过 程 中 会 消耗 大 量 的 系统 资源 ,严重 降低 主 
机 的 性 能 。 

在 SSL 握手 的 过 程 中 ,服务 器 会 消耗 较 多 的 CPU 计算 资源 进行 加 解密 ,并 进行 数据 
的 有 效 性 检验 。 对 于 客户 端 发 过 来 的 数据 ,服务 器 需要 先 花 费 大 量 的 计算 资源 进行 解密 ， 
之 后 才能 对 数据 的 有 效 性 进行 检验 。 重 要 的 是 ,不 论 数据 是 否 有 效 ,服务器 都 必须 先进 行 
解密 才能 够 做 检查 。 攻 击 者 可 以 利用 这 个 特性 进行 SSL 洪水 攻击 ,如 图 6-10 所 示 。 

在 进行 SSL 洪水 攻击 时 ,需要 攻击 者 能 够 在 客户 端 大 量 地 发 出 攻击 请 求 ,因此 客 
户 端 所 进行 的 计算 应 尽 可 能 地 少 。 对 于 SSL 洪水 攻击 ,比较 好 的 方式 是 在 数据 传输 之 
前 进行 SSL 握手 的 过 程 中 发 动 攻 击 。 攻 击 者 并 不 需要 完成 SSL 握手 和 密 钥 交换 ,而 只 
需要 在 这 个 过 程 中 让 服务 器 去 解密 和 验证 ,就 能 够 大 量 地 消耗 目标 服务 器 的 计算 资 
源 ,因此 ,攻击 者 可 以 非常 容易 地 构造 密 钥 交 换 过 程 中 的 请 求 数据 ,达到 减少 客户 端 计 
算 量 的 目的 。 


6.3.3 ”攻击 应 用 资源 


网 络 应 用 程序 和 服务 在 处 理 数据 时 通常 需要 消耗 一 定 的 网 络 连接 、 计 算 和 存储 资源 ， 
这 些 资源 是 由 应 用 程序 向 系统 进行 申请 并 自行 管理 和 维护 的 。 消 耗 应 用 资源 的 DDoS 攻 
击 就 是 通过 向 应 用 程序 提交 大 量 消 耗资 源 的 请 求 ,从 而 达到 拒绝 服务 攻击 的 目的 。 

近年 来 ,消耗 应 用 资源 的 DDoS 攻击 正 逐 渐 成 为 DoS 攻击 的 主要 手段 之 一 。 而 由 于 
DNS 和 Web 服务 的 广泛 性 和 重要 性 ,这 两 种 服务 成 为 消耗 应 用 资源 的 DDoS 攻击 的 最 
主要 的 攻击 目标 。 
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1. 攻击 DNS 服务 

DNS 服务 是 互联 网 的 一 项 核心 服务 。 通 过 使 用 DNS, 人 们 在 访问 网 站 时 不 需要 记忆 
其 IP 地 址 ,而 只 需 输 入 其 域名 即 可 。 在 IPv6 网 络 环境 下 ,由 于 IP 地 址 由 原来 的 32 位 扩 
展 到 128 位 , 变 得 更 加 难以 记忆 ,DNS 服务 也 就 变 得 更 加 重要 。 当 DNS 服务 的 可 用 性 受 
到 威胁 时 ,互联 网 上 的 大 量 设备 都 会 受到 影响 甚至 无 法 正常 运行 。 

1) DNS QUERY 洪水 攻击 

DNS QUERY 洪水 攻击 是 指向 DNS 服务 器 发 送 大 量 查 询 请 求 以 达到 拒绝 服务 效果 
的 一 种 攻击 方法 。 在 DNS 解析 的 过 程 中 ,客户 端 每 发 起 一 次 查询 请 求 ,DNS 服务 器 可 能 
需要 进行 额外 的 多 次 查询 才能 完成 解析 的 过 程 并 给 出 应 答 ,在 这 个 过 程 中 会 消耗 一 定 的 
计算 和 网 络 资源 。 如 果 攻 击 者 利用 大 量 受 控 主机 不 断 发 送 不 同 域名 的 解析 请 求 ,那么 
DNS 服务 器 的 缓存 会 被 不 断 刷新 ,由 于 大 量 解析 请 求 不 能 命中 缓存 ,DNS 服务 器 必须 消 
耗 额外 的 资源 进行 迭代 查询 ,这 会 极 大 地 增加 DNS 服务 器 的 资源 消耗 ,导致 DNS 响应 组 
慢 甚至 完全 拒绝 服务 ,如 图 6-11 所 示 。 

2) DNS NXDOMAIN 洪水 攻击 

DNS NXDOMAIN 洪水 攻击 是 DNS QUERY 洪水 攻击 的 一 个 变种 ,两 者 区 别 在 于 
后 者 是 向 DNS 服务 器 查询 一 个 真实 存在 的 域名 ,前 者 是 向 DNS 服务 器 查询 一 个 不 存在 
的 域名 。 一 部 分 DNS 服务 器 在 获取 不 到 域名 的 解析 结果 时 ,还 会 再 次 进行 递归 查询 ,向 
上 一 级 DNS 服务 器 发 送 解析 请 求 并 等 待 应 答 ,这 进一步 增加 了 DNS 服务 器 的 资源 消耗 。 
因此 ,这 种 攻击 比 DNS QUERY 洪水 攻击 效果 更 好 。 图 6-12 为 DNS NXDOMAIN 攻击 
流程 。 
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2. 攻击 Web 服务 

人 们 通过 浏览 器 使 用 Web 服务 简单 方便 地 获取 需要 的 信息 ,许多 机 构 和 企业 的 重要 
信息 也 是 通过 Web 服务 的 方式 对 外 提供 的 ,一 旦 Web 服务 受到 拒绝 服务 攻击 ,就 会 对 其 
承载 的 业务 造成 致命 影响 。 

1) CC 攻击 

CC(Challenge Collapsar, 挑 战 黑 洞 ) 的 前 身 名 为 Fatboy 攻击 ,是 利用 不 断 对 网 站 发 
送 连接 请 求 致使 形成 拒绝 服务 的 一 种 攻击 。 在 DDoS 攻击 发 展 前 期 , 绝 大 部 分 攻击 都 能 
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被 业界 知名 的 “黑洞 "(Collapsar) 抗 拒绝 服务 攻击 系统 所 防护 ,于 是 攻击 者 在 研究 出 一 种 
新 型 的 针对 HTTP 的 DDoS 攻击 后 ,即将 其 命名 Challenge Collapsar, 意 为 黑洞 设备 无 法 
防御 ,这 一 名 称 沿用 至 今 。 

CC 攻击 的 原理 是 ,攻击 者 控制 僵尸 网 络 不 停 地 发 大 量 数据 包 给 目标 主机 ,造成 服务 
器 资源 耗 尽 ,一 直到 宕 机 骨 溃 。CC 攻击 主要 是 用 来 攻击 网 页 的 , 当 一 个 网 页 访问 的 人 数 
特别 多 的 时 候 , 用 户 打开 网 页 就 会 变 慢 ,而 CC 攻击 就 是 模拟 多 个 用 户 不 停 进行 访问 需要 
大 量 数据 操作 的 网 页 ,造成 服务 器 资源 的 浪费 ,使 CPU 利用 率 长 时 间 处 于 100% ,永远 都 
有 处 理 不 完 的 连接 ,直到 网 络 拥塞 ,正常 的 用 户 访问 被 中 止 。 

相 比 于 其 他 的 DDoS 攻击 ,CC 攻击 见 不 到 真实 源 IP 地 址 和 特别 大 的 异常 流量 ,但 会 
造成 服务 器 无 法 正常 连接 。CC 攻击 的 技术 含量 很 低 , 只 需 利用 更 换 IP 代理 工具 和 一 些 
IP 代理 ,一 个 基础 水 平 的 计算 机 用 户 就 能 够 实施 攻击 。 由 于 CC 攻击 有 一 定 的 隐蔽 性 ,可 
以 通过 以 下 3 个 方法 来 确定 服务 器 正在 遭受 或 者 曾经 遭受 CC 攻击 : 

(1) 命令 行 法 。 

遭受 CC 攻击 时 , Web 服务 器 一 般 会 出 现 80 端口 对 外 关闭 的 现象 ,因为 这 个 端口 已 经 
被 大 量 的 垃圾 数据 堵塞 ,正常 的 连接 被 中 止 。 用 户 可 以 通过 在 命令 行 输入 命令 netstat-an 来 
查看 ,SYN_RECEIVED 是 TCP 连接 状态 标志 ,意思 是 “正在 处 于 连接 的 初始 同步 状态 ”， 
表明 无 法 建立 握手 应 答 , 处 于 等 待 状态 ,是 CC 攻击 的 一 种 特征 。 这 样 的 记录 车 有 很 多 
条 , 则 表示 有 来 自 不 同 的 代理 IP 的 攻击 ,可 以 确认 服务 器 遭受 CC 攻击 。 

(2) 批 处 理 法 。 

命令 行 法 需要 手工 输入 命令 ,而 且 如 果 Web 服务 器 IP 连接 太 多 ,看 起 来 比较 费劲 。 
可 以 建立 一 个 批 处 理 文件 ,通过 它 确 定 是 否 存在 CC 攻击 。 打 开 记 事 本 ,输入 如 下 代码 并 
保存 为 CC. bat: 


Qecho off 

time /t >>1og.1og 

netstat -n -p tcplfind ":80">>Log.1og 

notepad 1og.1og 

exit 

上 面 的 代码 的 含义 是 筛选 出 当前 所 有 到 80 端口 的 连接 。 当 感觉 服务 器 异常 时 ,就 可 以 
双击 运行 该 批 处 理 文件 ,然后 在 打开 的 log. log 文件 中 查看 所 有 的 连接 。 如 果 同 一 个 卫 地 
址 有 比较 多 的 到 服务 器 的 连接 ,那么 基本 可 以 确定 该 一 地 址 正在 对 服务 器 进行 CC 攻击 。 

(3) 查看 系统 日 志 。 

Web 日 志 一 般 在 C: \WINDOWS\system32\LogFiles\HTTPERR 目录 下 ,该 目录 
下 有 类 似 httperrl. log 的 日 志文 件 , 这 个 文件 中 保存 了 Web 访问 错误 的 记录 。 管 理 员 可 
以 依据 日 志 时 间 属 性 选择 相应 的 日 志 进 行 分 析 , 以 判断 是 否 服务 器 受到 了 CC 攻击 。 默 
认 情 况 下 ,Web 日 志 记录 的 项 并 不 是 很 多 ,可 以 通过 IIS 进行 设置 ,让 Web 日 志 记 录 更 多 
的 项 ,以 便 进行 安全 分 析 。 

2) HTTP 洪水 攻击 

Web 服务 通常 使 用 HTTP 进行 请 求 和 响应 数据 的 传输 。 常 见 的 HTTP 请 求 有 
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GET 请 求 和 POST 请 求 , 在 处 理 这 些 请 求 的 过 程 中 , Web 服务 器 通常 需要 解析 请 求 , 处 
理 和 执行 服务 器 脚本 ,验证 用 户 权 限 ,并 多 次 访问 数据 库 , 这 会 消耗 大 量 的 计算 资源 和 1/O 


访问 资源 ,如 图 6-13 所 示 。 
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图 6-13 HTTP 洪水 攻击 流程 














如 果 攻 击 者 利用 大 量 的 受 控 主 机 不 断 地 向 Web 服务 器 恶意 发 送 大 量 HTTP 请 求 ， 
要 求 Web 服务 器 处 理 ,就 会 完全 占用 服务 器 的 资源 ,造成 其 他 正常 用 户 的 Web 访问 请 求 
处 理 缓慢 甚至 得 不 到 处 理 , 导 致 拒绝 服务 。 

3) Slowloris 攻击 

这 是 一 种 针对 Web 服务 器 的 慢 速 HTTP 攻击 ,由 安全 研究 人 员 在 2009 年 提出 。 在 
HTTP 协议 中 规定 ,HTTP 头 部 以 连续 的 “\r\n\r\n” 作 为 结束 标志 。 许 多 Web 服务 器 
在 处 理 HTTP 请 求 的 头 部 信息 时 ,会 等 待 头 部 传输 结束 后 再 进行 处 理 。 因 此 ,如 果 Web 
服务 器 没有 接收 到 连续 的 “\r\n\r\n”, 就 会 一 直接 收 数据 并 保持 与 客户 端的 连接 。 利 用 
这 个 特性 ,攻击 者 能 够 长 时 间 与 Web 服务 器 保持 连接 ,并 逐渐 耗 尽 Web 服务 器 的 连接 资 
源 。 图 6-14 为 Slowloris 攻击 流程 。 

攻击 者 在 发 送 HTTP GET 请 求 时 ,缓慢 地 发 送 无 用 的 header 字段 ,并 且 一 直 不 发 送 
“\r\n\r\n” 结 束 标志 ,这 样 就 能 够 长 时 间 占 用 与 Web 服务 器 的 连接 并 保证 该 连接 不 被 超 
时 中 断 。 然 而 , Web 服务 器 能 够 处 理 的 并 发 连接 数 是 有 限 的 ,如 果 攻 击 者 利用 大 量 的 受 
控 主 机 发 送 这 种 不 完整 的 HTTP GET 请 求 并 持续 占用 这 些 连 接 ,就 会 耗 尽 Web 服务 器 
的 连接 资源 ,导致 其 他 用 户 的 HTTP 请 求 无 法 被 处 理 。 

4) ReDoS 攻击 

ReDoS( 正 则 表达 式 拒绝 服务 攻击 ) 是 安全 研究 人 员 在 2009 年 发 现 的 一 种 拒绝 服务 
攻击 方法 。 在 处 理 请 求 数据 时 ,Web 应 用 程序 通常 会 使 用 正则 表达 式 进行 字符 串 的 匹配 
操作 。 一 部 分 正则 表达 式 引 擎 会 使 用 一 种 被 称 为 非 确 定性 有 限 状态 自动 机 (NFA) 的 实 
现 方 式 , 以 便 能 够 处 理 复 杂 的 正则 表达 式 , 例 如 包含 了 向 后 引用 或 者 捕获 括号 的 正则 表达 
式 。 然 而 ,这 种 正则 表达 式 引 擎 的 实现 方式 也 导致 了 其 处 理 时 间 增 加 ,尤其 是 在 确定 “ 否 
定 匹 配 ”( 即 输入 字符 串 与 正则 表达 式 不 匹配 ) 时 ,正则 表达 式 引 擎 需要 对 所 有 可 能 的 匹配 
路 径 全 部 进行 测试 。 如 果 位 于 Web 应 用 程序 中 的 正则 表达 式 写 得 不 够 好 ,需要 测试 的 匹 
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图 6-14 Slowloris 攻击 流程 


配 路 径 数量 会 随 着 输入 字符 串 的 长 度 呈 指数 级 增长 。 利 用 恶意 构造 的 输入 字符 串 ,攻击 
者 只 需要 提交 较 短 的 输入 字符 串 就 可 以 强制 正则 表达 式 引 擎 处 理 数 亿 个 匹配 路 径 , 所 需 
时 间 可 以 达到 几 个 小 时 甚至 几 天 ,如 图 6-15 所 示 。 
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图 6-15 ”ReDoS 攻击 流程 
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6 ”DDoS 攻击 的 防御 方法 





近年 来 随 着 网 络 的 不 断 普及 ,DDoS 攻击 的 危害 性 不 断 升级 , 面 对 各 种 潜在 的 不 可 预 
知 的 攻击 , 越 来 越 多 的 企业 显得 不 知 所 措 和 力不从心 。 虽 然 可 以 通过 加 固 系统 来 尽 可 能 
地 防范 僵尸 程序 ,但 由 于 DDoS 攻击 在 TCP 连接 原理 上 是 合法 的 ,完全 杜绝 DDoS 目前 
还 不 太 可 能 ,但 通过 适当 的 措施 抵御 大 部 分 的 DDoS 攻击 是 可 以 做 到 的 。 基 于 攻击 和 防 
御 都 有 成 本 开销 的 缘故 , 若 通 过 适当 的 办 法 增强 了 抵御 DDoS 的 能 力 ,也 就 意味 着 加 大 了 
攻击 者 的 攻击 成 本 ,那么 绝 大 多 数 攻 击 者 将 因 无 法 继续 下 去 而 放弃 ,也 就 相当 于 成 功 地 抵 
御 了 DDoS 攻击 。 

对 于 DDoS 攻击 来 说 ,主要 有 网 络 层 DDoS 攻击 和 应 用 层 DDoS 攻击 两 大 类 型 。 网 
络 层 DDoS 攻击 已 经 随 着 网 络 技术 的 进步 而 得 到 了 很 大 的 抑制 。 现 阶段 对 网 络 威胁 最 大 
的 是 应 用 层 DDoS 攻击 ,这 种 攻击 的 破坏 性 更 强 ,因为 它 往往 是 一 种 非 对 称 的 攻击 ,客户 
端 只 需要 消耗 很 小 的 带宽 和 主机 资源 ,就 会 使 得 服务 器 消耗 很 大 的 带宽 或 者 主机 资源 ,这 
种 攻击 造成 的 破坏 更 大 ,而 攻击 者 发 动 攻 击 却 变 得 更 容易 。 例 如 ,CC 攻击 不 需 建立 一 个 
僵尸 网 络 ,只 需 在 网 上 搜索 一 系列 的 代理 服务 器 ,并 利用 这 些 代理 服务 器 发 动 攻 击 即 可 。 

对 抗 DDoS 攻击 要 从 两 个 方面 着 手 : 一 方面 需要 积极 ,安全 地 配置 主机 、 网 络 和 网 络 
设备 ,阻止 可 能 发 生 的 DDoS 攻击 , 减 小 DDoS 攻击 的 规模 ,这 种 方法 称 为 “治理 ”; 另 一 方 
面 ,DDoS 攻击 已 经 发 生 的 情况 下 ,作为 被 攻击 的 目标 而 采用 各 种 方法 减 小 DDoS 攻击 造 
成 的 影响 ,保证 服务 的 可 用 性 ,这 种 方法 称 为 “缓解 ”。 

总 体 来 说 ,DDoS 攻击 防范 技术 主要 分 为 3 类 ， 

第 一 类 是 通过 合理 配置 系统 ,达到 资源 最 优化 和 利用 最 大 化 。 

第 二 类 是 通过 加 固 TCP/IP 协议 栈 来 防范 DDoS 攻击 。 

第 三 类 是 通过 防火 墙 .路 由 器 等 过 滤 网 关 有 效 地 探测 攻击 类 型 并 阻止 攻击 。 


6.4.1 DDoS 攻击 的 治 


1. 对 僵尸 网 络 的 治 

对 僵尸 网 络 进行 治理 ,可 从 源头 停止 正在 进行 的 DDoS 攻击 ,这 是 对 抗 DDoS 攻击 最 
有 效 的 方法 。 然 而 ,在 实际 操作 过 程 中 ,治理 僵尸 网 络 仍 有 许多 困难 。 

进行 僵尸 网 络 治理 的 首要 困难 在 于 ,只 有 检测 到 网 络 异 常 后 ,安全 人 员 才 能 知道 系统 
感染 了 僵尸 程序 。 如 果 伪 尸 网 络 发 动 DDoS 攻击 后 ,单位 时 间 内 产生 大 量 的 攻击 流量 , 那 
么 从 安装 于 网 络 出 口 的 检测 设备 的 提示 ,或 从 部 分 被 感染 主机 的 内 存 占用 上 ,安全 人 员 可 
能 发 现 系统 存在 僵尸 网 络 。 但 如 果 这 些 通信 流量 很 小 ,并 做 了 加 密 , 那 么 这 些 通信 极 有 可 
能 被 淹没 于 正常 的 请 求 中 而 不 被 发 觉 ,安全 人 员 很 难 察觉 到 主机 受到 了 感染 。 

检测 到 感染 后 ,一 般 就 能 提取 到 样本 ,此 刻 遇 到 的 另 一 个 困难 就 是 需要 对 样本 进行 逆 
向 分 析 , 找 出 需要 的 信息 。 依 据 样本 分 析 的 难 易 程度 ,有 可 能 要 花费 相当 长 的 时 间 。 

僵尸 网 络 的 治理 可 以 从 两 方面 着 手 : 
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一 是 根据 逆向 分 析 的 结果 ,编写 僵尸 程序 清除 工具 ,分 发 至 企业 局 域 网 的 其 他 被 攻击 
主机 ,进行 清除 僵尸 程序 的 处 理 , 同 时 将 C&C 服务 器 域名 或 地 址 以 及 通信 和 包 特 征 加 入 规 
则 予以 拦截 。 这 种 方法 的 不 足 在 于 ,清除 工具 可 以 清除 掉 的 只 是 僵尸 网 络 的 冰山 一 角 , 整 
个 僵尸 网 络 仍然 可 以 维持 运营 ,主机 仍然 面临 被 攻击 的 风险 。 

二 是 接管 或 摧毁 整个 僵尸 网 络 。 这 种 做 法 往往 非常 困难 ,因为 僵尸 网 络 的 分 布 通常 
不 局 限于 一 个 地 区 、 一 个 国家 甚至 一 个 洲 ,而 是 分 布 于 多 个 国家 、 多 个 洲 , 其 相应 的 控制 服 
务 器 也 分 布 广泛 。 因 此 ,这 种 跨 区 域 的 打击 行动 需要 政府 间 的 协调 合作 ,往往 只 有 有 实 
力 、 影 响 大 的 跨国 公司 才能 做 到 ,例如 微软 公司 对 Nitol 僵尸 网 络 的 打击 。 


2. 对 地 址 伪造 攻击 的 治理 

在 当前 的 互联 网 环境 中 ,伪造 地 址 发 起 网 络 攻击 是 一 件 非 常 容易 的 事 。 伪 造 地 址 不 
仅 使 得 安全 人 员 追 查 攻击 源 变 得 更 加 困难 ,难以 使 用 源 地 址 过 滤 的 方式 阻挡 攻击 ,还 会 使 
DDoS 攻击 达到 更 大 的 规模 ,尤其 是 DNS 反射 攻击 ,可 将 原始 攻击 流量 放大 数 十 倍 ,加剧 
威胁 的 程度 。 目 前 ,防御 地 址 伪造 的 方法 主要 有 以 下 5 种 。 

1) 路 由 过 滤 

具体 而 言 ,路 由 过 滤 就 是 互联 网 服务 提供 商 在 网 络 出 入 口 处 的 路 由 器 上 对 符合 以 下 
条 件 的 数据 包 进行 过 滤 ， 

(1) 从 外 部 接口 进入 内 部 网 络 的 数据 包 , 但 源 地 址 属于 内 部 网 络 。 

(2) 由 内 部 网 络 向 外 发 送 的 数据 包 , 但 源 地 址 不 属于 内 部 网 络 。 

2) 分 布 式 包 过 滤 

基于 路 由 的 分 布 式 包 过 滤 方 法 (Distributed Packet Filtering,DPF) 的 原理 是 : 路 由 
器 根据 数据 包 的 源 地 址 和 目的 地 址 判断 其 转发 路 径 是 否 经 过 自己 ,如果 不 经 过 , 则 丢弃 该 
数据 包 。 

如 图 6-16 所 示 ,攻击 者 位 于 AS7 中 ,试图 对 AS4 的 目标 进行 攻击 ,于 是 将 攻击 源 地 
址 伪造 成 AS2 中 的 成 员 。 当 攻击 数据 包 经 过 AS6 和 AS7 之 间 的 边界 路 由 器 时 ,路 由 器 
会 判断 AS2 到 AS4 的 路 径 , 发 现 不 会 经 过 自己 ,就 将 数据 包 丢 弃 。 


©—©、 8 © 
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图 6-16 分 布 式 包 过 滤 





3) 输入 验证 

在 用 户 请 求 与 Web 服务 器 间 设 置 网 关 进 行 输入 验证 ,设置 防御 算法 过 滤 不 合法 请 
求 , 以 保护 网 关 后 端的 Web 服务 器 集群 和 数据 库 服务 器 集群 。 防 御 算法 对 后 端 服 务 器 透 
明 , 所 有 进入 保护 网 络 的 流量 经 过 防御 算法 的 检查 和 验证 ,将 通过 验证 的 请 求 转发 给 服务 
器 ,将 验证 失败 的 请 求 过 滤 , 因 而 恶意 请 求 不 会 到 达 服 务 器 ,避免 了 对 服务 器 网 络 带 宽 和 
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主机 资源 的 消耗 。 

防御 算法 采用 轻 量 级 的 验证 机 制 鉴别 合法 请 求 和 恶意 攻击 。 用 户 请 求 到 达 时 ,防御 
算法 首先 对 客户 端 进行 验证 ,作为 中 间 人 代替 服务 器 返回 客户 端 一 段 JavaScript 代码 以 
及 密 钥 port_key。 客 户 端 利用 port_key 计算 新 的 TCP 连接 端口 auth_port, 在 合法 TCP 
端口 再 次 建立 连接 的 用 户 通过 验证 ,其 发 送 的 请 求 经 过 网 关 的 端口 转换 ,发 送 至 Web 服 
务 器 的 开放 端口 :非法 TCP 端口 上 的 数据 包 被 网 关 过 滤 , 算 法 将 在 非法 端口 上 尝试 连接 
错误 次 数 达 到 上 限 的 源 IP 地 址 加 入 黑 名 单 ,直接 过 滤 来 自 黑 名 单 的 数据 包 , 抵 抗 诗 力 攻 
击 , 增 强 自身 的 鲁 棒 性 。 

防御 算法 的 验证 和 过 滤 在 IP 层 进 行 ,客户 端 浏 览 器 对 验证 码 的 计算 在 应 用 层 进 行 ， 
验证 机 制 在 TCP/IP 协议 栈 中 的 非 对 称 性 使 得 算法 的 验证 和 过 滤 在 协议 栈 IP 层 实现 ,无 
须 消 耗 协议 栈 高 层 资 源 , 能 够 加 快 其 处 理 速 度 ;而 客户 端的 计算 在 应 用 层 实现 ,无 须 改 变 
客户 端 协议 栈 ,无须 额 外 的 软 硬 件 支持 ,实现 了 对 客户 端的 透明 性 。 此 外 ,验证 成 功 的 合 
法 请 求 经 过 网 关 的 端口 转换 发 送 至 服务 器 的 开放 端口 ,无 须 修改 服务 器 应 用 程序 ,能 够 实 
现 网 关 的 透明 部 署 。 图 6-17 和 图 6-18 分 别 表示 合法 用 户 一 次 请 求 的 交互 过 程 和 攻击 者 
一 次 请 求 的 交互 过 程 。 





安全 网 关 
5 端口 Web 服 务 器 
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ee | 
本 SYN+ ACK 否 是 预 设 的 
i G4 | auth_port, 
字 答 中 六 A 
应 答 ee HTTP 请 求 | | 数据 包 直接 
一 一 | 代码 , 密 钥 一 === 进行 转发 
FIN port_key 
| 服务 器 应 答 | | 
RST 
ACK 
| A | 
(a) 第 一 次 请 求 (b) 重 定向 


图 6-17 合法 用 户 一 次 请 求 的 交互 过 程 


4) 单 播 反 向 路 径 转 发 

单 播 反 向 路 径 转 发 (Unicast Reverse Path Forwarding, Uncast RPF) 是 一 种 缓解 地 
址 伪造 的 技术 。 一 旦 开启 了 这 种 功能 ,路 由 器 会 对 进入 的 数据 包 检 查 源 地 址 和 源 端口 是 
和 否 在 路 由 表 中 。 如 果 是 , 则 认为 该 数据 包 是 通过 最 优 路径 到 达 该 路 由 器 的 ,应 该 正常 转 
发 ,否则 丢弃 。 具 体 分 为 5 个 步 又， 

(1) 对 于 输入 方向 的 数据 包 ,检查 访问 控制 列表 (ACL) 是 否 允 许 通 过 。 

(2) 按照 Unicast RPF 检查 是 否 通过 最 优 路 径 到 达 。 

(3) 转发 信息 库 (Forwarding Information Base,FIB) 查 找 。 
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6-18 攻击 者 一 次 请 求 的 交互 过 程 


(4) 对 于 输出 方向 ,检查 访问 控制 列表 是 否 允 许 通过 。 

(5) 转发 数据 包 。 

5) 访问 控制 

访问 控制 是 防范 DDoS 的 核心 内 容 , 目 前 许多 大 型 网 站 的 DDoS 防范 技术 正在 向 路 
由 器 防范 、 网 关 防 范 发 展 ,但 是 中 小 型 网 站 采用 这 种 防御 方法 的 成 本 太 高 ,因而 可 采取 访 
问 控制 ,根据 不 同 的 服务 请 求 采取 不 同 的 优先 级 策略 ,采取 IP 地 址 跟踪 ,利用 IP 地 址 的 
Hash 值 来 建立 数据 库 。 对 于 访问 频率 最 高 的 前 10% 的 IP 地 址 建立 白 名 单数 据 库 并 设 
置 较 高 的 优先 级 ,对 于 未 列 入 白 名 单 的 IP 地 址 则 以 较 高 的 概率 丢弃 。 

访问 控制 的 原理 是 服务 器 利用 连接 记录 来 区 分 不 同 的 数据 流 。 服 务 器 检查 黑 名 单 和 
白 名单 。 如 果 IP 地 址 在 黑 名 单 中 , 则 丢弃 请 求 。 如 果 IP 地 址 在 白 名 单 中 , 则 将 其 请 求 直 
接送 入 高 优先 级 队列 等 待 服务 ,建立 TCP 连接 。 如 果 IP 地 址 既 没 在 黑 名 单 中 也 没 在 白 
名 单 中 ,并 且 此 连接 请 求 没 有 通过 图 灵 测 试 , 则 客户 端 将 有 10 次 机 会 解答 图 灵 测 试 。 如 
果 客 户 端 能 够 正确 解答 图 灵 测 试 , 则 将 其 请 求 放 入 普通 队列 ,普通 队列 的 优先 级 将 低 于 白 
名 单 队列 的 优先 级 。 如 果 不 能 正确 解答 图 灵 测 试 , 则 将 IP 地 址 加 入 黑 名 单 , 并 将 其 请 求 
放 入 黑 名 单 队列 ,此 队列 在 10min 内 不 响应 ,超出 队列 长 度 的 请 求 将 直接 丢弃 ,同时 采用 
随机 丢弃 的 方法 ,使 后 续 请 求 能 够 加 入 此 队列 。 这 样 采用 3 个 队列 ,以 不 同 的 权重 有 效 地 
限制 数据 流 ,提高 资源 利用 率 。 

综 上 ,访问 控制 机 制 由 以 下 三 种 机 制 组 成 : 

(1) 如 果 IP 地 址 在 黑 名 单 中 , 则 随机 丢弃 该 客户 端 请 求 ,并 在 10min 内 不 响应 该 客 
户 端的 请 求 。 

(2) 如 果 IP 地 址 在 白 名 单 中 , 则 将 其 请 求 直 接送 入 高 优先 级 队列 等 待 服务 ,建立 
TCP 连接 。 

(3) 如 果 IP 地 址 既 不 在 白 名 单 中 也 不 在 黑 名 单 中 , 则 以 较 高 的 概率 丢弃 其 请 求 。 
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3. 对 攻击 反射 点 的 治理 

反射 式 DDoS 攻击 ,尤其 是 DNS 反射 攻击 ,已 成 为 当前 最 具 破 坏 力 的 攻击 形式 之 一 。 
2013 年 , 反 垃圾 邮件 组 织 Spamhaus 遭受 了 流量 高 达 300Gb/s 的 DDoS 攻击 ,这 是 迄今 
为 止 最 大 规模 的 DDoS 攻击 ,其 采用 的 方法 就 是 DNS 反射 攻击 。 

反射 式 DDoS 攻击 备 受 攻击 者 青睐 的 主要 原因 有 两 个 : 

(1) 通过 伪造 地 址 隐藏 攻击 源 。 

(2) 大 多 数 反 射 攻击 同时 具有 放大 作用 ,可 以 将 攻击 流量 放大 数 十 倍 。 

反射 攻击 包括 ACK DNS、SNMP NTP 等 种 类 ,其 中 DNS 反射 攻击 最 为 普遍 。 这 
是 因为 互联 网 中 存在 大 量 可 作为 反射 点 的 DNS 服务 器 ,而 且 DNS 反射 攻击 可 以 实现 较 
大 的 反射 倍数 。 下 面 以 DNS 反射 点 为 例 , 介 绍 对 攻击 反射 点 的 治理 方法 。 

对 于 放大 攻击 来 说 ,流量 一 旦 经 过 反射 点 放大 ,占用 带宽 就 会 急剧 上 升 ,而 无 论 采 用 
何 种 防御 方法 ,都 意味 着 成 本 或 代价 急剧 上 升 。 因 此 针对 反射 点 进行 治理 ,对 于 减少 流量 
型 DDoS 攻击 具有 事半功倍 的 效果 。 针 对 不 同 的 需要 ,有 3 种 治理 方法 。 

1) Open Resolver Project 

通过 Open Resolver Project 验证 DNS 服务 器 的 安全 性 。Open Resolver Project 是 
一 个 国际 组 织 , 它 致力 于 减少 DNS 放大 攻击 造成 的 威胁 。 这 个 组 织 定 期 维护 一 份 DNS 
服务 器 列表 ,包括 3300 万 台 服 务 器 ,其 中 的 2800 万 台 存 在 风险 。 

Open Resolver Project 提供 查询 功能 ,使 用 者 可 以 查询 任何 网 段 中 开放 的 地 址 解析 
器 ,查询 结果 包括 从 多 个 地 址 向 其 发 送 请 求 的 响应 结果 。 如 果 一 个 DNS 服务 器 可 以 从 任 
意 地 址 访问 ,并 无 限 速 地 回应 查询 请 求 ,那么 它 就 可 以 被 用 作 DDoS 攻击 的 反射 点 。 

2) 配置 RRL 

2013 年 7 月 25 日 ,互联 网 系统 协会 (Internet Systems Consortium,ISC) 宣布 ,为 了 
防御 利用 DNS 发 起 的 反射 式 DDoS 攻击 ,最 新 版 的 BIND 软件 增加 了 响应 速率 限制 
(Response Rate Limiting,RRL) 模 块 ,并 声称 这 会 是 缓解 DNS 反射 攻击 的 最 有 效 方法 。 

响应 速率 限制 是 对 DNS 协议 的 一 种 增强 功能 ,目的 是 缓解 DDoS 放大 攻击 。RRL 
官方 认为 之 所 以 DNS 服务 器 很 容易 被 用 于 反射 攻击 ,是 由 于 以 下 3 方面 的 原因 : 

(1) DNS 查询 通常 使 用 UDP 协议 ,因为 这 是 一 种 不 验证 来 源 的 协议 ,所 以 很 容易 伪 
造 地 址 。 攻 击 者 可 以 将 发 送 的 请 求 数 据 包 中 的 源 地 址 改 为 攻击 目标 的 地 址 ,这 样 DNS 服 
务 器 会 向 受害 者 发 送 回复 。 

(2) 大 部 分 ISP 不 检查 发 自 自 身 的 数据 包 中 的 源 地 址 是 否 真 实 , 这 使 得 互联 网 中 伪 
造 地 址 盛行 。 

(3) 几 个 字 节 的 DNS 请 求 数据 包 就 可 以 引发 数 倍 甚至 数 十 倍 的 响应 。 例 如 ,查询 
isc. ong 的 EDNS0 数据 包 只 有 36B( 不 包括 UDP IP 和 以 太 网 头 部 ) ,而 触发 的 响应 数据 
包 长 达 3576B( 不 包括 UDP.P 和 以 太 网 头 部 ) 。 攻 击 者 可 以 控制 攻击 以 引发 巨 量 的 增幅 。 

通过 配置 RRL 模块 ,可 以 用 于 应 对 多 重 攻击 场景 ,达到 快速 治理 的 目的 。 

3) 参考 安全 域名 系统 部 署 指 南 

安全 人 员 可 通过 参考 NIST SP800-812 全 面 建设 安全 的 DNS 服务 器 。2006 年 5 月 ， 
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NIST 发 布 了 特别 出 版 物 一 一 《安全 域名 系统 部 署 指南 》(Secure Domain Name System 
(DNS) Deployment Guide),2013 年 9 月 发 布 了 第 2 版 。 

该 指南 认为 ,由 于 DNS 缺乏 对 系统 边界 的 定义 以 及 缺乏 数据 验证 ,使 得 它 会 面临 以 
下 威胁 : 

(1) 利用 假冒 身份 欺骗 DNS 服务 器 ,借以 实施 拒绝 服务 攻击 。 

(2) 入 侵 者 或 虚假 的 DNS 信息 提供 者 可 以 污染 DNS 的 缓存 ,这 将 导致 错误 访问 子 
域名 。 

(3) 算 改 DNS 服务 器 中 对 历史 查询 的 缓存 ,可 能 导致 使 用 该 DNS 服务 器 的 用 户 访 
问 有 害 的 非法 资源 。 

(4) 如 果 域 名 解析 请 求 的 数据 违反 了 DNS 规范 的 定义 ,可 能 产生 不 良 影响 ,例如 增 
加 系统 的 负载 ,保存 过 时 的 数据 ,甚至 使 系统 无 法 提供 服务 。 对 于 DNS ,数据 内 容 决 定 着 
整个 系统 的 完整 性 。 

对 于 这 些 威胁 ,该 指南 提出 了 以 下 通用 建议 : 

(1) 实施 适当 的 系统 和 网 络 安全 控制 ,确保 DNS 托管 环境 ,如 操作 系统 和 应 用 程序 
安装 补丁 程序 .进程 隔离 和 网 络 的 容错 性 。 

(2) 对 于 一 个 企业 控制 范围 内 的 DNS 服务 器 ,对 DNS 事务 进行 保护 ,例如 域名 解析 
数据 的 更 新 和 备份 。 保 护 的 方法 可 以 参考 互联 网 工程 任务 组 (IETF) 的 事务 签名 (TSIG) 
规范 ,使 用 基于 共享 秘密 的 散 列 消息 认证 码 。 

使 用 基于 非 对 称 加 密 的 数字 签名 保护 DNS 的 请 求 / 应 答 事务 ,具体 内 容 可 以 参考 
IETF 的 域名 系统 安全 扩展 (DNSSFC) 规 范 。 


6.4.2 DDoS 攻击 的 缓解 


大 部 分 的 治理 方法 需要 在 DDoS 攻击 发 生 之 前 就 配置 好 ,并 且 需 要 世界 范围 内 的 网 
络 运 营 商 ,网 络 公司 和 网 络 组 织 有 效 合作 ,才能 达到 较 好 的 对 抗 效果 。 然 而 ,对 于 许多 中 
小 型 企业 和 组 织 来 说 ,他 们 并 没有 能 力 进 行 大 范围 的 网 络 治理 和 僵尸 网 络 打击 行动 , 却 比 
大 型 公司 和 组 织 更 可 能 遭受 DDoS 攻击 。 对 于 这 些 中 小 型 企业 和 组 织 来 说 ,难道 只 能 处 
于 被 动 挨 打 的 位 置 吗 ? 

事实 上 ,在 DDoS 攻击 已 经 发 生 的 情况 下 .可 以 通过 一 些 缓解 技术 来 减少 DDoS 攻击 
对 自身 业务 和 服务 的 影响 ,从 而 在 一 定 程度 上 保障 业务 正常 运行 。DDoS 缓解 技术 并 不 
能 根除 DDoS 攻击 对 于 目标 的 影响 ,而 只 能 最 大 限度 地 减 小 损失 。 

缓解 DDoS 攻击 的 主要 方法 是 对 网 络 流量 进行 清洗 , 即 设法 将 恶意 的 网 络 流量 从 全 
部 流量 中 去 掉 ,通过 防火 墙 对 异常 流量 的 清洗 过 滤 ,例如 数据 包 的 规则 过 滤 、 数 据 流 指 纹 
检测 过 滤 和 数据 包 内 容 定 制 过 滤 等 ,只 将 正常 的 网 络 流量 交付 该 服务 器 。 然 而 , 随 着 
DDoS 攻击 的 流量 不 断 增 大 ,单一 的 流量 清洗 设备 和 流量 清洗 中 心 已 经 无 法 处 理 如 此 大 
规模 的 网 络 流量 ,因此 , 面 对 现 在 的 DDoS 攻击 时 ,在 进行 流量 清洗 前 还 需要 进行 流量 
稀释 。 


1. 攻击 流量 的 稀释 
DDoS 攻击 的 来 源 通常 分 布 非常 广泛 ,经 常会 出 现 从 一 个 国家 的 不 同位 置 甚至 从 
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整个 世界 的 不 同位 置 同 时 向 目标 发 起 攻击 的 情况 。 从 每 一 个 攻击 来 源 来 看 ,其 攻击 流 
量 可 能 并 不 大 ,但 是 当成 千 上 万 个 攻击 流 汇聚 到 被 攻击 目标 时 ,全 部 的 攻击 流量 就 会 
完全 占 满 被 攻击 目标 的 网 络 出 口 带宽 ,这 时 无 论 再 进行 什么 形式 的 流量 清洗 ,也 不 会 
有 任何 效果 了 。 

因此 ,在 面 对 超 大 流量 的 DDoS 攻击 时 ,首先 要 做 的 就 是 将 流量 进行 稀释 和 分 散 。 在 
流量 被 稀释 和 分 散 以 后 ,攻击 情况 就 从 “多 对 一 ” 变 成 了 “多 对 多 ”, 这 样 到 达 每 个 流量 清洗 
设备 或 流量 清洗 中 心 的 网 络 流量 都 会 下 降 到 其 能 够 处 理 的 范围 之 内 ,也 就 能 够 进行 进 一 
步 的 清洗 工作 。 

目前 比较 流行 的 攻击 流量 稀释 的 方法 是 使 用 CDN(Content Delivery Network, 内 容 
分 发 网 络 ) 或 Anycast( 任 播 ) 技 术 。 

1) CDN 

CDN 就 是 在 互联 网 范围 内 广泛 设置 多 个 节点 作为 代理 缓存 ,并 将 用 户 的 访问 请 求 导 
向 最 近 的 缓存 节点 ,从 而 加 快 访问 速度 的 一 种 技术 手段 。CDN 技术 的 初衷 是 提高 互联 网 
用 户 对 网 站 静态 资源 的 访问 速度 ,但 是 由 于 其 分 布 式 、 多 节点 的 特点 , 它 也 能 够 对 DDoS 
攻击 的 流量 产生 稀释 的 效果 。 

用 户 的 访问 请 求 通常 通过 智能 DNS 被 导向 最 近 的 缓存 节点 。 在 许多 情况 下 ,对 于 资 
源 和 服务 的 访问 请 求 是 以 域名 的 形式 发 出 的 ,传统 的 域名 解析 系统 会 将 同一 域名 的 解析 
请 求解 析 成 一 个 固定 的 IP 地 址 ,因此 整个 互联 网 对 于 该 域名 的 访问 都 会 被 导向 这 个 IP 
地 址 ,如 图 6-19 所 示 。 


pa 
一 一 晶 一 一 与 


图 6-19 传统 DNS 解析 


而 在 智能 DNS 中 ,一 个 域名 会 对 应 一 张 IP 地 址 表 , 当 收 到 域名 解析 请 求 时 ,智能 
DNS 会 查看 解析 请 求 的 来 源 ,并 给 出 地 址 表 中 距离 请 求 来 源 最 近 的 IP 地 址 ,这 个 地 址 通 
常 也 就 是 最 接近 用 户 的 CDN 缓存 节点 的 IP 地 址 。 用 户 收 到 域名 解析 应 答 后 ,认为 该 
CDN 节点 就 是 他 请 求 的 域名 所 对 应 的 IP 地 址 , 则 会 向 该 CDN 节点 发 起 服务 或 资源 

在 发 生 了 DDoS 攻击 时 ,智能 DNS 会 将 来 自 不 同位 置 的 攻击 流量 分 散 到 对 应 位 置 的 
CDN 节点 上 ,这 使 得 CDN 节点 成 为 区 域 性 的 流量 吸收 中 心 ,从 而 达到 流量 稀释 的 效果 。 
在 流量 被 稀释 到 各 个 CDN 节点 后 ,就 可 以 在 每 个 节点 处 进行 流量 清洗 ,只 将 正常 的 请 求 
交付 给 源 站 ,从 而 达到 防护 源 站 的 目的 ,如 图 6-20 所 示 。 
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6-20 智能 DNS 解析 


2) Anycast 

Anycast 技术 是 一 种 网 络 寻 址 和 路 由 方法 。 通 过 使 用 Anycast, 一 组 提供 特定 服务 的 
主机 可 以 使 用 相同 的 IP 地 址 ,同时 ,服务 访问 方 的 请 求 报 文 将 会 被 IP 网 络 路 由 到 这 一 组 
目标 中 拓扑 结构 最 近 的 一 台 主 机 上 。 

Anycast 通常 是 通过 在 不 同 的 节点 处 同时 使 用 边界 网 关 协 议 (Border Gateway 
Protocol,BGP) 向 外 声明 同样 的 目的 IP 地址 的 方式 实现 的 。 如 图 6-21 所 示 ,服务 器 A 和 
服务 器 也 是 Anycast 的 两 个 节点 ,它们 通过 BGP 向 外 声明 其 IP 地 址 为 10. 0. 0. 1。 


192.168.0.1 10.0.0.1 
路 由 器 2 服务 器 A 

LC ws 
192.168.0.2 10.0.0.1 
路 由 器 3 路 由 器 4 服务 器 B 


图 6-21 Anycast 示例 


当 客 户 端 位 于 路 由 器 1 的 网 络 内 时 , 它 将 会 通过 路 由 器 1 来 选择 路 由 的 下 一 跳 。 而 
对 路 由 器 1 来 说 ,到 达 服 务 器 IP 地 址 10. 0.0. 1 的 网 络 拓扑 如 图 6-22 所 示 。 显 然 转发 到 
路 由 器 2 的 距离 更 短 ,因此 ,路 由 器 1 会 将 请 求 报 文 转发 给 路 由 器 2 而 不 是 路 由 器 3, 从 
而 实际 上 发 送 给 了 服务 器 A, 达 到 发 送 给 Anycast 中 最 近 的 节点 的 目的 。 
使 用 Anycast 技术 能 够 稀释 DDoS 攻击 流量 ,在 Anycast 寻 址 过 程 中 ,流量 会 被 导向 
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192.168.0.1 





10.0.0.1 
\ J 路 由 器 1 服务 器 





用 户 Ff 192.168.0.2 
Destination Mask Next-Hop Pa )) (CX) 
192.168.0.0 /29 127.0.0.1 0 Ns NM 
10.0.0.1 /32 192.168.0.1 1 
10.0.0.1 /32 192.168.02 2 路 由 器 3 路 由 器 4 











图 6-22 路 由 器 1 视角 的 网 络 拓扑 结构 


网 络 拓扑 结构 中 最 近 的 节点 ,在 这 个 过 程 中 ,攻击 者 并 不 能 对 攻击 流量 进行 操作 ,因此 攻 
击 流量 将 会 被 分 散 并 稀释 到 最 近 的 节点 上 ,如 图 6-23 所 示 。 


-一品 








6-23 ”使 用 Anycast 稀释 流量 


2. 攻击 流量 的 清洗 

流量 清洗 是 指 在 全 部 的 网 络 流量 中 区 分 出 正常 流量 和 恶意 流量 ,将 恶意 流量 阻 断 和 
丢弃 ,而 只 将 正常 的 流量 交付 给 服务 器 。 

与 其 他 的 网 络 安 全 检测 和 防护 手段 类 似 ,流量 清洗 也 需要 考虑 漏 报 率 和 误 报 率 的 问 
题 。 通 常 , 漏 报 率 和 误 报 率 是 一 对 矛盾 ,需要 通过 对 检测 和 防护 规则 的 调整 来 进行 平衡 。 
如 果 流 量 清洗 的 漏 报 率 太 高 ,就 会 有 大 量 的 攻击 请 求 穿 透 流量 清洗 设备 ,无 法 有 效 地 减少 
攻击 流量 ,也 就 达 不 到 减轻 服务 器 压力 的 效果 。 相 反 , 如 果 误 报 率 太 高 ,就 会 出 现 大 量 的 
正常 请 求 在 清洗 过 程 中 被 中 断 ,严重 影响 正常 的 服务 和 业务 运行 。 

优秀 的 流量 清洗 设备 应 该 能 够 同时 将 漏 报 率 和 误 报 率 降低 到 可 以 接受 的 程度 ,这 样 
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就 能 够 在 不 影响 网 络 或 业务 系统 正常 运行 的 情况 下 ,最 大 限度 地 将 恶意 攻击 流量 从 全 部 
网 络 流量 中 去 除 。 要 达到 这 个 目的 ,需要 同时 使 用 多 种 准确 而 高 效 的 清洗 技术 ,这 些 技术 
包括 IP 信誉 检查 ,攻击 特征 匹配 .速度 检查 与 限制 .TCP 代理 和 验证 .协议 完整 性 验证 和 
客户 端 真实 性 验证 。 

1) IP 信誉 检查 

IP 信誉 检查 原本 是 用 于 识别 和 对 抗 垃圾 邮件 的 一 种 技术 ,不 过 这 种 技术 也 可 以 用 来 
在 网 络 层 进行 流量 清洗 。 

IP 信誉 机 制 是 指 为 互联 网 上 的 IP 地 址 赋予 一 定 的 信誉 值 ,那些 过 去 或 现在 经 常 为 
僵尸 主机 发 送 垃 圾 邮件 或 发 动 DDoS 攻击 的 IP 地 址 会 被 赋予 较 低 的 信誉 值 ,说 明 这 些 IP 
地 址 更 有 可 能 成 为 网 络 攻 击 的 来 源 。 

当 发 生 DDoS 攻击 时 ,流量 清洗 设备 会 对 通过 的 网 络 流量 进行 IP 信誉 检查 ,在 其 内 
部 的 IP 地 址 信誉 库 中 查找 每 个 数据 包 来 源 的 信誉 值 ,并 会 优先 丢弃 信誉 值 低 的 IP 地 址 
所 发 来 的 数据 包 或 建立 的 会 话 连 接 , 以 此 保证 信誉 值 高 的 IP 地 址 与 服务 器 的 正常 通信 。 
IP 信誉 检查 的 极端 情况 就 是 IP 黑 名 单机 制 , 即 如 果 数 据 包 的 来 源 存在 于 黑 名 单 之 中 , 则 
不 进行 任何 处 理 ,直接 丢弃 该 数据 包 。 这 种 方式 一 般 会 造成 较 多 的 误 报 ,影响 正常 服务 的 
运行 。 

2) 攻击 特征 匹配 

在 大 多 数 情况 下 ,发 动 DDoS 攻击 需要 借助 攻击 工具 。 为 了 提高 发 送 请 求 的 效率 , 攻 
击 工具 发 出 的 数据 包 通 常 是 由 编写 者 伪造 并 固化 到 工具 当中 的 ,而 不 是 在 交互 过 程 中 产 
生 的 ,因此 一 种 攻击 工具 所 发 出 的 数据 包 载 荷 会 具有 一 些 特征 。 

流量 清洗 设备 可 以 将 这 些 数 据 包 载 荷 中 的 特征 作为 指纹 来 识别 工具 发 出 的 攻击 流 
量 。 指 纹 识 别 可 以 分 为 静态 指纹 识别 和 动态 指纹 识别 两 种 。 静 态 指纹 识别 是 指 预先 将 多 
种 攻击 工具 的 指纹 特征 保存 在 流量 清洗 设备 内 部 ,设备 将 经 过 的 网 络 数据 包 与 内 部 的 特 
征 库 进 行 比 对 ,直接 丢弃 符合 特征 的 数据 包 ;动态 指纹 识别 则 需要 流量 清洗 设备 对 流 过 的 
网 络 数据 包 进 行 学 习 ,在 学 习 到 若干 个 数据 包 的 载荷 部 分 之 后 ,将 其 指纹 特征 记录 下 来 ， 
后 续 命 中 这 些 指纹 特征 的 数据 包 会 被 丢弃 ,而 长 期 不 被 命中 的 指纹 特征 会 逐渐 老化 直至 
消失 。 

3) 速度 检查 与 限制 

一 些 攻击 方法 在 数据 包 载 荷 上 可 能 并 不 存在 明显 的 特征 ,没有 办 法 进行 攻击 特征 匹 
配 , 但 在 请 求 数据 包 发 送 的 频率 和 速度 上 有 着 明显 的 异常 。 这 些 攻击 方法 可 以 通过 速度 
检查 与 限制 来 进行 清洗 。 例 如 ,在 受到 THC SSL DoS 攻击 时 ,会 在 同一 个 SSL 会 话 中 多 
次 进行 加 密 密 钥 的 重 协商 ,而 正常 情况 下 是 不 会 反复 重 协 商 加 密 密 钥 的 。 因 此 , 当 流 量 清 
洗 设 备 进行 统计 时 ,如 果 发 现 SSL 会 话 中 密 钥 重 协商 的 次 数 超过 了 特定 的 净值 ,就 可 以 
直接 中 断 这 个 会 话 并 把 来 源 加 入 黑 名 单 中 。 

再 如 ,在 受到 Slowloris 和 慢 速 POST 请 求 攻击 时 ,客户 端 和 服务 器 之 间 会 以 非常 低 
的 速率 进行 交互 和 数据 传输 。 流 量 清洗 设备 在 发 现 HTTP 的 请 求 长 时 间 没有 完成 传输 
时 ,就 可 以 将 会 话 中 断 。 

此 外 ,对 于 UDP 洪水 攻击 等 一 些 没有 明显 特征 、 仅 通过 大 流量 进行 攻击 的 方法 ,可 
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以 通过 限制 流速 的 方式 对 其 进行 缓解 。 

4) TCP 代理 和 验证 

SYN 洪水 攻击 等 攻击 方式 都 是 利用 TCP 的 弱点 ,将 被 攻击 目标 的 连接 表 占 满 ,使 其 
无 法 创建 新 的 连接 而 达到 拒绝 服务 攻击 的 目的 。 流 量 清洗 设备 可 以 通过 TCP 代理 和 验 
证 的 方法 来 缓解 这 种 攻击 造成 的 危害 。 

在 一 个 TCP SYN 请 求 到 达 流量 清洗 设备 后 ,设备 并 不 将 它 交 给 后 面 的 服务 器 ,而 是 
直接 回复 一 个 SYN 十 ACK 响应 ,并 等 待 客户 端 回复 。 

如 果 SYN 请 求 来 自 合法 的 用 户 ,那么 他 会 对 SYN 十 ACK 进行 响应 ,这 时 流量 清洗 
设备 会 代替 用 户 与 其 保护 的 服务 器 建立 起 TCP 连接 ,并 将 这 个 连接 加 入 信任 列表 当中 ， 
如 图 6-17 所 示 。 之 后 ,合法 的 用 户 和 服务 器 之 间 就 可 以 通过 流量 清洗 设备 进行 正常 数据 
通信 。 对 于 用 户 来 说 ,整个 过 程 是 完全 透明 的 ,正常 的 交互 没有 受到 任何 影响 ,如 图 6-24 
所 示 。 








ACK 一 一 一 一 











上 -一 SYN+ACK 一 一 

! 1 ACK 一 一 

1 1 

1 数据 通信 一 

二 数据 通信 4 
合法 用 户 流量 清洗 设备 服务 器 


6-24 正常 用 户 的 TCP 交互 


而 如 果 这 个 SYN 请 求 来 自 攻 击 者 ,那么 他 通常 不 会 对 SYN 十 ACK 进行 响应 ,从 而 
形成 半 开 连接 。 这 样 流量 清洗 设备 会 暂时 保留 这 个 半 开 连接 ,并 在 经 过 短暂 的 超时 时 间 
之 后 丢弃 这 个 连接 ,如 图 6-25 所 示 。 














on 
< 
-4 
十 
> 
[el 
天 


LI ® 于 


合法 用 户 流量 清洗 设备 服务 名 


图 6-25 SYN 攻击 清洗 
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流量 清洗 设备 对 连接 表 操 作 进行 了 专门 优化 ,能 够 处 理 极 其 庞大 的 连接 请 求 数量 , 因 
此 即使 有 非常 多 的 SYN 请 求 同 时 涌 向 流量 清洗 设备 ,流量 清洗 设备 也 能 够 处 理 。 在 这 
个 过 程 中 ,由 于 流量 清洗 设备 拦截 攻击 发 生 在 被 保护 的 服务 器 之 前 ,服务 器 并 没有 消耗 任 
何 连接 资源 ,因此 保证 了 服务 器 的 性 能 不 受 影响 。 

5) 协议 完整 性 验证 

为 了 提高 发 送 攻 击 请 求 的 效率 ,大 多 数 的 攻击 方法 都 会 只 发 送 攻击 请 求 ,而 不 接收 服 
务 器 响应 的 数据 ,或 者 无 法 完全 理解 和 处 理 响 应 数据 。 因 此 ,如 果 能 够 对 请 求 来 源 进行 交 
互 式 验证 ,就 可 以 检查 请 求 来 源 协议 实现 的 完整 性 。 对 于 协议 实现 不 完整 的 请 求 来 源 , 通 
常 可 以 将 其 作为 攻击 主机 ,丢弃 其 发 送 的 数据 。 

在 DNS 解析 的 过 程 中 ,如 果 域 名 解析 请 求 获 得 的 响应 数据 中 的 Flags 字段 的 
Truncated 位 被 置 位 ,通常 客户 端 就 会 使 用 TCP 53 端口 重新 发 送 域名 解析 请 求 。 而 攻击 
者 使 用 的 攻击 工具 由 于 不 接受 或 不 处 理解 析 请 求 的 响应 数据 ,也 就 不 会 使 用 TCP 53 端 
口 进行 重新 连接 。 流 量 清洗 设备 可 以 利用 这 个 特点 有 效 区 别 合法 用 户 和 攻击 者 。 

6) 客户 端 真实 性 验证 

进行 协议 完整 性 验证 能 够 清洗 一 部 分 简单 的 攻击 工具 所 发 送 的 攻击 流量 ,但 是 ,一 些 
攻击 工具 在 开发 过 程 中 使 用 了 现成 的 协议 库 ,这 样 就 能 够 完整 实现 协议 交互 ,通过 协议 完 
整 性 检验 。 对 于 这 些 攻击 工具 ,需要 使 用 客户 端 真实 性 验证 技术 进行 攻击 流量 清洗 。 

客户 端 真 实 性 验证 是 指 对 客户 端 程序 进行 挑战 -应 答 式 的 交互 验证 ,检查 客户 端 能 否 
完成 特定 的 功能 ,以 此 来 确定 请 求 数据 是 否 来 自 真 实 的 客户 端 。 

对 基于 页 面 的 Web 服务 ,可 以 通过 检查 客户 端 是 否 支持 JavaScript 来 验证 请 求 是 否 
来 自 真 实 的 浏览 器 客户 端 。 当 收 到 HTTP 请 求 时 ,流量 清洗 设备 会 使 用 JavaScript 等 脚 
本 语言 发 送 一 条 简单 的 运算 操作 。 如 果 请 求 是 由 真实 的 浏览 器 发 出 的 ,那么 浏览 器 会 进 
行 正确 运算 并 返回 结果 ,流量 清洗 设备 进行 结果 验证 后 就 会 让 浏览 器 跳 转 到 Web 服务 器 
上 真正 的 资源 位 置 , 不 会 影响 正常 用 户 的 访问 ,如 图 6-26 所 示 。 


让 ' 
一 一 HTTP 请 求 一 > 
一 JavaScript 1+1=? 一 一 


人 一 一 一 2 
1 JavaScript OK Goto a -a 
HH ~ 





HTTP 请 求 
响应 数据 


[1 ® 


流量 清洗 设备 Web 服 务 器 
四 6-26 ”正常 客户 端的 脚本 验证 








[he 


而 如 果 请 求 是 由 攻击 者 通过 攻击 工具 发 送 的 ,由 于 大 部 分 工具 没有 实现 JavaScript 
的 解析 和 执行 功能 ,因而 不 能 返回 正确 的 运算 结果 。 流 量 清洗 设备 会 直接 丢弃 这 些 请 求 ， 
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而 不 会 给 出 跳 转 到 Web 服务 器 的 连接 ,因此 Web 服务 器 不 会 受到 影响 ,如 图 6-27 所 示 。 


， 
上 一 HTTP 请 求 一 一 一 


盖 一 JavaScript 1+1=? 一 一 





Lj (@ 重 


浏览 器 流量 清洗 设备 Web 服 务 器 
6-27 ”伪造 客户 端的 流量 清洗 


如 果 攻 击 者 牺牲 工具 的 一 部 分 攻击 效率 ,在 工具 中 加 入 JavaScript 的 解析 和 执行 功 
能 ,以 便 通过 JavaScript 验证 ,这 时 则 需要 使 用 验证 码 进行 人 机 识别 。 

常见 的 验证 码 是 让 用 户 输入 一 个 扭曲 变形 的 图 片上 的 文字 。 对 于 真实 人 类 用 户 来 
说 ,通常 比较 容易 识别 出 文字 ,给 出 正确 的 结果 ,通过 测试 。 而 对 于 计算 机 来 说 ,识别 验证 
码 中 的 文字 十 分 困难 ,无 法 给 出 正确 结果 , 则 流量 清洗 设备 就 会 直接 丢弃 这 种 请 求 ,保护 
Web 服务 器 不 受 影 响 。 


思 考 题 


. 什么 是 DDoS 攻击 ? 

.DDoS 攻击 的 流程 是 什么 ? 

. 与 其 他 攻击 形式 相 比 ,DDoS 攻击 有 什么 特点 ? 

. DDoS 攻击 很 多 种 , 简 述 各 种 DDoS 攻击 的 攻击 方式 。 
. 应 用 层 防范 DDoS 攻击 的 方法 和 原理 是 什么 ? 
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威胁 情报 中 心 


近年 来 ,在 网 络 安全 领域 逐步 兴起 的 基于 威胁 情报 (Threat Intelligence,TI) 的 安全 
防御 成 为 业界 公认 的 网 络 安全 未 来 发 展 方向 。 过 去 的 安全 产品 技术 一 般 都 是 基于 内 置 的 
签名 来 判断 ,现在 的 安全 产品 则 普遍 采用 多 种 安全 引擎 ,引入 了 多 种 分 析 手 段 ,例如 威胁 
情报 。 接 入 威胁 情报 之 后 ,安全 产品 就 能 够 分 析 和 阻 断 威 胁 来 源 。 威 胁 情报 中 心 可 以 将 
威胁 相关 的 各 类 信息 进行 关联 ,为 网 络 攻 击 检 测 防 护 、 联 动 处 置 、 信 息 共享 提供 一 个 决策 
信息 平台 ,帮助 用 户 更 好 地 应 对 攻击 威胁 。 本 章 介绍 威胁 情报 的 基本 概念 、 分 类 和 用 


i 威胁 情报 概述 





7.1.1 威胁 情报 定义 


随 着 网 络 空间 安全 形势 的 日 益 严 峻 , 频 发 的 网 络 攻击 不 断 挑战 着 网 络 安全 防御 的 能 
力 。 诸 多 网 络 攻击 由 一 系列 事件 所 组 成 ,通常 为 有 序 的 或 相互 依赖 的 多 个 步骤 ,而 传统 的 
安全 防护 手段 大 多 只 能 获取 局 部 攻击 信息 ,无 法 构建 出 完整 的 攻击 链条 来 解决 当前 的 安 
全 威胁 ,安全 行业 面临 着 前 所 未 有 的 挑战 。 采 用 威胁 情报 来 解决 网 络 空间 安全 的 各 种 问 
题 成 为 一 种 发 展 趋势 。 

威胁 情报 是 基于 证 据 的 描述 威胁 的 一 组 关联 的 信息 ,包括 威胁 相关 的 环境 信息 ,采用 
的 手法 机 制 .指标 、 影 响 , 以 及 行动 建议 等 ,是 网 络 安全 机 构 为 了 共同 防御 网 络 安全 攻击 而 
逐渐 兴起 的 一 项 技术 。 

2013 年 美国 IT 咨询 公司 Gartner 对 威胁 情报 作 了 较为 权威 的 定义 :“ 威 胁 情 报 是 一 
种 基于 证 据 的 知识 , 它 就 网 络 资产 可 能 存在 或 出 现 的 风险 威胁 给 出 了 相关 联 的 场景 、 机 
制 . 指 标 、 内 涵 及 可 行 的 建议 等 ,可 为 主体 响应 相关 威胁 或 风险 提供 决策 信息 。” 

与 传统 的 单 维度 恶意 代码 库 或 不 良 域名 库 不 同 , 威 胁 情报 描述 现存 的 或 者 即将 出 现 
的 针对 资产 的 威胁 或 危险 ,可 以 让 安全 人 员 了 解 威胁 的 全 貌 。 它 将 从 安全 服务 厂商 、 防 病 
毒 厂商 和 安全 组 织 得 到 的 安全 预警 通告 .漏洞 通告 .威胁 通告 等 信息 用 于 对 网 络 攻 击 进 行 
追根 溯源 。 通 过 收集 大 量 基 础 信息 、 监 测 互 联网 流量 ,或 将 客户 的 网 络 也 纳入 检测 的 范 
围 , 以 获得 客户 的 特定 安全 情报 信息 ,抽象 成 可 机 读 威胁 情报 (Machine-Readable Threat 
Intelligence, MRTD) 后 ,利用 蜜 网 、 沙 箱 、.DPI 等 技术 进行 数据 分 析 加 工 , 最 终 形成 安全 威 
胁 报告 。 在 威胁 情报 中 ,有 大 量 对 安全 威胁 的 描述 ,如 漏洞 检测 与 定义 钓鱼 网 站 、IP 指 
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纹 库 等 ,帮助 分 析 人 员 准 确 判 断 攻击 者 的 身份 .意图 ,特征 和 攻击 手法 等 ,例如 通过 使 用 威 
胁 情报 得 知 僵尸 网 络 的 IP 地 址 或 钓鱼 网 站 的 网 址 后 ,防火 墙 可 以 快速 准确 地 过 滤 、 屏 项 
这 些 恶 意 地 址 ,减少 攻击 带 来 的 危害 ,避免 给 用 户 造成 不 必要 的 损失 。 

威胁 情报 总 体 上 说 由 两 部 分 组 成 : 

(1) 威胁 信息 : 攻击 源 ,如 攻击 者 身份 .IP 地址 .DNS、URL; 攻 击 方式 ,如 武器 库 ; 攻 
击 对 象 ,如 指纹 信息 ;漏洞 信息 ,如 漏洞 库 。 

(2) 防御 信息 : 访问 控制 列表 和 规则 (策略 ) 库 。 

以 Web 攻击 为 例 , 威 胁 情报 可 以 提供 以 下 信息 : 

(1) IP 地 址 。 用 于 提供 攻击 源 信息 ,例如 通过 IP 地 址 发 现 伪 装 搜 索引 擎 的 扫描 器 ， 
定位 攻击 者 的 僵尸 网 络 集群 等 。IP 指纹 库 可 使 分 析 人 员 以 很 高 的 概率 迅速 确定 操作 系 
统 的 版 本 。 虽 然 TCP/IP 协议 栈 的 定义 已 经 成 为 一 项 标准 ,但 是 各 个 厂家 ,如 微软 和 
RedHat 等 在 编写 自己 的 TCP/IP 协议 栈 时 却 做 出 了 不 同 的 解释 。 这 些 解 释 因 具有 独 一 
无 二 的 特性 , 故 被 称 为 指纹 。 通 过 这 些 细微 的 差别 ,可 以 准确 定位 操作 系统 的 版 本 。 

(2) Host。 用 于 提供 域名 信息 ,表明 攻击 源 是 自动 生成 的 恶意 域名 还 是 入 侵 得 来 的 
子 域名 。 当 一 个 CC 攻击 源 来 自 一 个 教育 网 , 则 在 很 大 程度 上 可 以 判断 该 教育 网 是 被 攻 
击 者 入侵 后 的 僵尸 网 络 的 一 部 分 。 

(3) URL。 提 供 攻击 方式 信息 ,帮助 分 析 人 员 判 断 攻 击 者 是 在 探测 阶段 还 是 攻击 阶 
段 ,攻击 者 利用 的 是 什么 应 用 的 哪个 版 本 的 哪个 漏洞 ,是 在 进行 暴力 破解 (目录 枚 举 ,登录 
口 爆破 ) ,流量 型 攻击 还 是 钓鱼 攻击 ,等 等 。 

(4) ResponseCode。 提 供 了 攻击 对 象 所 采用 的 防御 信息 ,帮助 分 析 人 员 判 断 攻 击 对 
象 是否 有 WAF 加 持 , 是 哪 款 WAF 加 持 , 防 御 的 方式 是 拦截 、 重 定向 还 是 验证 码 。 

可 机 读 威胁 情报 主要 用 于 为 安全 产品 赋 能 ,让 它们 可 以 检测 和 发 现 更 多 的 关键 性 威 
胁 , 同 时 为 报警 提供 优先 级 、 上 下 文 等 事件 响应 必要 的 内 容 , 让 设备 更 智能 ,也 更 有 利于 安 
全 人 员 进 行 处 理 。 常 见 的 可 机 读 威胁 情报 分 为 以 下 3 类 : 

(1) 失陷 检测 IOC(Indicator of Compromise, 入 侵 指示 标记 ) 情 报 。 可 以 认为 是 威胁 
相关 特征 的 集合 ,是 目前 可 机 读 威 胁 情 报 的 主要 形态 。IOC 用 以 发 现 内 部 被 APT 团伙 、 
木马 后 门 和 僵尸 网 络 控制 的 失陷 主机 等 ,从 类 型 上 看 常 为 域名 、URL 等 ,典型 的 IOC 有 
文件 Hash IP 地 址 、 域 名 ,程序 运行 路 径 、 注 册 表 项 等 ,IOC 可 以 被 网 络 安全 设备 和 主机 
安全 软件 所 读 取 和 使 用 。 从 趋势 上 看 .攻击 者 通过 攻击 一 些 合法 网 站 来 部 署 CnC 架构 的 
比例 在 上 升 ,因此 URL 类 型 检测 的 必要 性 在 增加 。 对 于 一 般 的 企业 ,从 外 部 威胁 情报 供 
应 商 处 所 能 获得 的 威胁 情报 就 是 IOC。 一 旦 发 现 了 集合 中 的 一 个 指标 ,就 可 以 通过 IOC 
了 解 到 其 他 所 有 的 指标 ,进而 了 解 威胁 的 全 貌 。 

用 户 可 以 通过 云端 生成 .管理 中 心 分 发 和 安全 网 关 响 应 几 个 步骤 完成 IOC 情报 的 落 
地 ,保护 网 络 安 全 。 图 7-1 为 IOC 示意 图 。 

通常 安全 基础 设施 都 是 碎片 化 的 ,各 种 安全 产品 各 自 为 战 ,在 架构 中 的 每 一 层 都 创建 
自己 的 日 志和 事件 ,系统 日 志 中 有 大 量 的 不 良 IP 地 址 和 域名 ,揭示 着 可 能 的 C&C 服务 
器 通信 ,数据 渗 漏 或 非法 服务 ,还 有 对 应 特定 /恶意 文件 的 MD5 以 及 指向 敌手 的 网 络 和 
终端 。 所 有 这 些 指标 都 能 揭示 恶意 行为 .但 网 络 管理 员 却 难以 确 知 要 先 寻 找 和 调查 什么 。 
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程序 运 文件 

IP 地 址 端口 号 域名 行路 径 MD5 
r 一 一 一 一 太一 一 一 一 十 -| 一 一 一 一 -一 一 一 一 一 [J] 一 一 一 一 一 广 一 一 一 一 十 一 一 一 一 一 -| 
lloc | abcd 6550 wwwxyz C/ 7 位 | 



































图 7-1 IOC 示意 图 


结果 就 是 用 户 即使 发 现 了 威胁 的 特征 ,也 只 能 了 解 单 维度 的 威胁 特征 ,无 法 在 整体 上 看 清 
威胁 的 全 貌 。 

IOC 是 将 各 安全 工具 的 所 有 输出 整合 在 一 起 的 切实 方法 。IOC 可 以 构建 整体 视图 ， 
从 指标 追踪 到 攻击 活动 ,使 管理 员 对 自身 网 络 环境 中 正在 发 生 的 事情 有 更 深刻 的 了 解 。 
因此 ,管理 员 往 往 可 以 通过 数据 中 一 些 看 似 无 害 的 行为 (例如 访问 了 某 个 域名 ) 发 现 恶 意 
威胁 ,而 不 用 等 到 它 真正 发 作 ,产生 危害 时 才 发 现 。 同 时 也 可 以 通过 对 已 知 威胁 的 分 析 ， 
对 未 知 威胁 进行 合理 的 预警 。 

(2) 文件 信誉 。 单 一 病毒 引擎 对 文件 的 检测 能 力 难 以 满足 现实 的 需要 ,而 基于 云端 
大 量 样本 库 , 通 过 多 引擎 . 沙 箱 .yara 规则 等 检测 分 析 方式 ,可 以 更 加 全 面 准确 地 得 到 恶 
意 文件 的 类 型 .家 族 以 及 其 他 信息 。 通 过 文件 Hash 方式 查询 文件 信誉 ,是 在 不 影响 本 地 
系统 稳定 性 和 性 能 条 件 下 ,对 AV 或 者 沙 箱 检 测 的 有 效 增强 模式 。 

(3) 威胁 情报 。 威 胁 情报 是 互联 网 业务 服务 器 防护 场景 下 的 情报 数据 ,利用 威胁 情 
报 可 以 拦截 已 知 的 黑 IP 地 址 ,例如 僵尸 网 络 IP 地 址 ,对 Web 攻击 报警 进行 优先 级 判断 
(甄别 网 络 中 大 量 存在 的 自动 化 攻击 ) 并 增加 攻击 相关 的 上 下 文 信息 。 

图 7-2 为 威胁 情报 的 组 成 。 图 中 TTP 意 为 战术 、 技 术 和 程序 (Tactics，Techniques 
and Programy) 。 

威胁 情报 的 出 现 将 网 络 空间 安全 防御 从 传统 被 动 式 防 御 转移 到 主动 式 防御 。 与 传统 
情报 应 具备 准确 性 .针对 性 和 及 时 性 等 特征 相 比 ,威胁 情报 的 基本 特征 主要 有 以 下 4 点 : 

(1) 时 效 性 。 威 胁 情报 的 时 效 性 取决 于 攻击 意图 、 攻 击 能 力 等 , 即 与 攻击 者 战略 、 技 
术 和 过 程 等 信息 相关 。 对 于 一 般 攻击 者 .威胁 情报 的 时 效 期 可 能 只 有 数秒 至 数 分 钟 ,而 对 
于 APT 攻击 ,情报 即使 在 恶意 代码 注入 后 数 周 、 数 月 后 才 得 悉 , 也 具有 非常 重要 的 价值 。 

(2) 相关 性 。 威 胁 情报 应 与 使 用 者 的 网 络 与 应 用 环境 直接 相关 。 威 胁 情 报 是 关于 场 
景 、 机 制 等 要 素 的 知识 ,这 样 情 报 使 用 者 才 可 以 基于 这 些 信息 对 当前 网 络 安全 状态 做 出 准 
确 评估 。 

(3) 准确 性 。 威 胁 情报 应 是 正确 、 完 整 无 歧义 的 , 即 在 描述 威胁 情报 时 给 出 一 个 威 
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图 7-2 威胁 情报 的 组 成 


胁 指标 的 定量 和 定性 描述 及 威胁 指示 ( 即 IOC) ,通常 包括 原子 级 \、 可 计算 类 ,行为 类 等 。 
(4) 可 操作 性 。 威 胁 情 报 要 能 够 在 描述 性 内 容 之 外 ,为 情报 消费 者 给 出 针对 威胁 的 
消减 或 响应 处 置 的 启发 性 .权威 性 建议 。 


7.1.2 威胁 情报 分 类 


威胁 情报 的 分 类 方式 有 以 下 3 种 : 

第 一 种 分 类 基于 威胁 情报 运用 对 象 ,这 是 由 美国 官方 提出 的 分 类 方式 , 它 将 网 络 威胁 
情报 划分 为 战略 威胁 情报 ,战术 威胁 情报 、 行 动 威胁 情报 和 技术 威胁 情报 。 其 中 ,战略 威 
胁 情 报 为 面向 决策 层 的 指导 性 风险 信息 ,战术 威胁 情报 针对 管理 和 技术 人 员 提 供 战 术 分 
析 报 告 ,这 两 类 威胁 情报 的 生成 周期 较 长 ,过程 也 较为 复杂 ;行动 威胁 情报 与 技术 威胁 情 
报 的 运转 则 相对 快速 得 多 ,分 别 用 于 指导 防御 人 员 实 施 安全 措施 与 供 威胁 分 析 人 员 进 行 
技术 分 析 与 风险 评估 。 从 功能 上 看 ,战略 威胁 情报 与 行动 威胁 情报 为 各 级 决策 者 提供 了 
咨询 服务 ,而 战术 威胁 情报 和 技术 威胁 情报 更 多 为 就 事 论 事 的 分 析 报告 。 

第 二 种 分 类 基于 网 络 安全 杀伤 链 的 构建 层次 ,威胁 情报 按照 等 级 分 成 战略 威胁 情报 、 
战区 威胁 情报 和 战术 威胁 情报 。 其 中 ,战略 威胁 情报 指 对 于 一 个 企业 或 一 个 行业 而 言 的 
威胁 态势 情报 ,最 终 目的 是 为 了 战略 层面 的 安全 决策 ,确定 防护 时 的 整体 战略 目标 ;战区 
威胁 情报 是 针对 具体 业务 和 系统 的 威胁 ,这 类 威胁 情报 更 具体 .场景 化 和 可 视 化 ;战术 威 
腑 情报 是 对 每 个 杀伤 链 场景 的 情报 分 析 ,需要 构建 出 单条 杀伤 链 , 分 析 攻 击 工具 、 攻 击 手 
法 \ 攻 击 来 源 、 攻 击 目标 、 威 胁 影响 等 的 特征 ,战术 威胁 情报 被 认为 是 战区 威胁 情报 的 基 
础 ,在 战术 层面 构建 的 杀伤 链条 数 越 多 ,整个 威胁 情报 体系 起 的 作用 就 越 大 。 

第 三 种 分 类 基于 威胁 情报 的 应 用 价值 ,分 为 归属 情报 、 检 测 情报 、 指 向 情报 、 预 测 情 
报 。 归 属 情报 根据 行为 证 据 指 向 特定 攻击 者 ,解决 威胁 行为 人 “是 谁 ” 的 问题 ;检测 情报 指 
向 在 主机 和 网 络 上 观察 到 的 安全 事件 ,解决 威胁 行为 “是 什么 ”的 问题 ,是 讨论 分 析 最 为 广 
泛 的 情报 类 型 ;指向 情报 帮助 预测 哪些 用 户 、 设 施 或 者 项 目 可 能 成 为 定向 攻击 的 目标 , 解 
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决 威胁 行为 “针对 谁 ”的 问题 ,由 于 有 显著 的 行业 或 者 组 织 特色 ,并 不 常见 ;预测 情报 通过 
行为 模式 来 预测 其 他 威胁 事件 的 发 生 , 解 决 威胁 行为 “ 接 下 来 会 怎样 "的 问题 ,这 个 方面 的 
知识 在 安全 分 析 过 程 中 一 直 在 使 用 ,每 一 个 成 熟 的 安全 分 析 师 都 会 关注 收集 攻击 者 行为 
模式 方面 的 信息 。 这 4 种 威胁 情报 的 特点 如 表 7-1 所 示 。 
表 7-1 基于 应 用 价值 的 威胁 情报 的 特点 
分 类 说 明 特 ”点 





归属 情报 


用 来 区 分 特定 的 行为 或 者 证 据 。 指 向 
特定 的 攻击 者 ,主要 回答 “是 谁 ”的 问题 
(如 : 谁 写 的 恶意 软件 , 谁 发 起 的 攻击 ) 


归属 指标 是 情报 分 析 中 不 可 或 缺 的 一 环 。 
一 般 来 说 ,这 类 情报 的 收集 和 分 析 能 力 不 
是 一 家 公司 可 以 建立 的 : 首先 , 它 涉及 大 
量 有 关 组 织 的 战略 .战役 及 战术 相关 情报 
数据 ,也 包括 其 他 传统 来 源 的 情报 数据 ， 
其 次 ,即使 有 这 样 的 能 力 , 也 往往 在 行为 
上 受到 法 律 的 限制 





检测 情报 


用 来 指向 在 主机 或 者 网 络 上 可 以 观察 
到 的 事件 ,如 果 命中 ,就 意味 着 一 个 安 
全 事件 。 它 尝试 回答 “是 什么 ”的 问题 
(如 : 网 络 中 某 个 木马 联系 了 C&C 服 
务 器 ,这 个 Web 会 话 中 包含 了 注入 攻 
击 , 等 等 ) 


这 个 类 型 的 威胁 情报 在 市 场 上 的 威胁 情 
报 产品 中 占 绝 大 多 数 ,在 讨论 基于 数据 类 
型 分 类 时 也 是 侧重 考虑 的 内 容 





指向 情报 


帮助 预测 哪些 用 户 ,设施 或 者 项 目 可 能 
成 为 定向 攻击 的 目标 


这 个 类 型 的 威胁 情报 虽然 非常 有 价值 ,但 
是 它 和 特定 的 行业 或 者 组 织 关 联 更 紧密 ， 
因此 现在 还 很 少 看 到 提供 此 方面 内 容 的 


威胁 情报 厂商 





通过 行为 模式 来 预测 其 他 事件 的 发 生 
(如 : 发 现 某 PC 下 载 了 一 个 后 门 程序 ， 
就 可 以 预测 之 前 这 台 设 备 发 生 过 漏洞 
利用 ,之 后 会 有 连接 C&C 的 网 络 行为 


这 个 方面 的 知识 在 安全 分 析 过 程 中 一 直 
在 使 用 ,每 一 个 成 熟 的 安全 分 析 师 都 会 注 
重 收集 攻击 者 行为 模式 方面 的 信息 


预测 情报 








7.2 威胁 情报 服务 和 威胁 情报 的 用 途 





1. 威胁 情报 服务 

威胁 情报 服务 针对 不 同 客 户 进行 个 性 化 定制 。 真 正 的 威胁 情报 服务 会 收集 每 个 客户 
的 环境 数据 和 情报 要 求 ,针对 客户 企业 所 处 行业 技术 和 特定 环境 作出 分 析 。 定 制 化 的 信 
息 能 够 给 企业 提供 充足 的 上 下 文 信息 ,企业 可 依据 自身 的 特定 需求 和 风险 状况 而 不 是 根 
据 整 个 行业 的 普遍 情况 来 设 定 优先 级 和 作出 最 佳 决 策 。 网 络 情报 公司 iSight Partners 将 
威胁 信息 服务 分 为 3 种 不 同 的 阶段 : 签名 与 信誉 源 、 威 胁 数 据 源 和 威胁 情报 。 

签名 与 信誉 源 一 般 指 的 是 恶意 程序 “签名 ”( 文 件 Hash) .URL 信誉 数据 和 入 侵 指 标 , 有 
时 也 包括 一 些 基本 的 数据 (例如 “今日 十 大 恶意 程序 威胁 ”)。 威 胁 数据 源 的 主要 价值 在 于 提 
升 下 一 代 防 火 墙 (NGFW)、 入 侵 防 御 系统 (IPS) 、 安 全 网 关 (SWG)、 反 恶意 程序 , 反 垃 圾 邮件 
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包 以 及 其 他 技术 的 有 效 性 。 签 名 与 信誉 源 是 纵深 防御 策略 的 其 中 一 方面 ,但 这 类 服务 有 其 
局 限 性 : 签名 与 信誉 源 能 够 阻挡 多 数 攻击 ,但 无 法 阻挡 没有 签名 的 针对 性 攻击 ;签名 与 信誉 
源 针 对 个 体 威 胁 指 标 提 供 数 据 , 但 无 法 帮助 企业 识别 企业 自身 、 企 业 员 工 或 者 客户 是 否 已 经 
成 为 攻击 目标 。 大 量 的 签名 和 信誉 分 值 也 会 让 SIEM (Security Information and Event 
Management, 安 全 信息 和 事件 系统 ) 系 统 和 防火 墙 产 生 大 量 告警 ,而 面 对 如 此 大 量 的 数据 ， 
安全 团队 是 无 法 评估 的 。 

威胁 数据 源 可 对 常见 恶意 程序 和 攻击 活动 的 波及 范围 .源头 和 目标 进行 统计 分 析 。 
一 些 安全 研究 团队 针对 特定 恶意 程序 发 布 的 攻击 解析 ,或 者 对 高 级 、 多 阶段 攻击 的 攻击 顺 
序 观察 ,都 属于 此 类 。 威 胁 报告 对 于 安全 管理 平台 和 应 急 响 应 团队 是 很 有 价值 的 ,能 够 帮 
助 他 们 分 辨 攻击 模式 。 但 大 多 数 威胁 实验 室 所 作 的 分 析 都 有 明显 的 缺陷 ,数据 收集 是 被 
动 的 (在 防火 墙 和 网 络 传感器 上 看 到 了 什么 ?”) ,经 常 与 供应 商 、 客 户 群 的 地 理 位置 和 行 
业 情 形 有 关 , 这 类 分 析 是 回顾 型 的 (过 去 六 个 月 在 网 络 攻击 中 观察 到 了 什么 >) ,因而 这 类 
分 析 无 法 用 于 识别 黑客 的 新 策略 和 技术 。 

威胁 情报 包含 了 前 两 者 的 基础 数据 ,但 同时 在 几 个 重点 方面 作 了 提升 ,包括 在 全 球 范 
围 内 收集 及 分 析 活 跃 黑 客 的 信息 和 技术 信息 ,也 就 是 说 持续 监控 黑客 团体 和 地 下 站 点 ,了 
解 网 络 犯 罪 者 和 激进 攻击 者 共享 的 信息 ,技术 、 工 具 和 基础 设施 。 威 胁 情报 还 要 求 其 团队 
拥有 多 样 化 的 语言 能 力 和 文化 背景 ,以 便 理解 全 球 各 地 攻击 者 的 动机 和 关系 。 另 外 ,威胁 
情报 以 对 手 为 重点 ,具有 前 瞻 性 ,针对 攻击 者 及 其 战术 、 技 术 与 程序 提供 丰富 的 上 下 文 数 
据 。 数 据 可 能 包括 不 同 犯罪 者 的 动机 与 目标 ,针对 的 漏洞 ,使 用 的 域 .恶意 程序 和 社工 方 
式 , 攻 击 活动 的 结构 及 其 变化 ,以 及 攻击 者 规避 现 有 安全 技术 的 技巧 。 


2. 威胁 情报 的 用 途 

威胁 情报 的 用 途 多 种 多 样 , 除 去 攻击 检测 方面 的 价值 外 ,实际 上 威胁 情报 的 使 用 场景 
非常 广泛 。 

1) 安全 体系 建设 与 完善 

目前 ,防御 思路 正在 从 以 漏洞 为 中 心 转化 为 以 威胁 为 中 心 , 只 有 对 需要 保护 的 关键 性 
资产 存在 的 威胁 有 足够 的 了 解 ,例如 攻击 者 可 能 采取 的 战术 、 方 法 和 行为 模式 ,才能 够 建 
构 起 合理 高效 的 安全 体系 结构 。 如 果 能 有 指向 指标 类 的 信息 ,让 安全 人 员 知 道 所 在 行业 
当时 可 能 的 最 大 风险 ,就 更 能 做 到 有 的 放 矢 。 如 果 说 不 同方 向 的 安全 从 业者 (如 漏洞 控 
掘 、 渗 透 测 试 . 安 全 分 析 和 事件 响应 .产品 及 开发 等 ) 需 要 的 知识 结构 有 所 不 同 , 那 么 这 种 
对 攻击 面 的 理解 就 是 所 有 行业 从 业者 必须 了 解 的 内 容 。 

2) 攻击 检测 和 防御 

基于 威胁 情报 数据 ,可 以 创建 IDP 或 者 AV 产品 的 签名 ,或 者 生成 NFT( 网 络 取证 工 
具 ) SIEM、ETDR( 终 端 威胁 检测 及 响应 ) 等 产品 的 规则 ,用 于 攻击 检测 。 如 果 是 简单 的 PP 
地 址 ,域名 、URL 等 指标 ,除了 以 上 用 途 , 还 可 以 考虑 直接 使 用 在 线 设备 进行 实时 阻截 防御 。 

3) 安全 分 析 及 事件 响应 

安全 分 析 及 事件 响应 中 的 多 种 工作 同样 可 以 依赖 威胁 情报 更 简单 、 高 效 地 进行 处 理 。 
在 报警 分 类 中 ,可 以 依赖 威胁 情报 来 区 分 不 同类 型 的 攻击 ,从 中 识别 出 可 能 的 APT 类 型 
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高 危 级 别 攻击 ,以 保证 及 时 、 有 效 地 应 对 攻击 。 

4) 安全 取证 和 溯源 

在 攻击 范围 确定 、 漳 源 分 析 中 ,可 以 利用 预测 类 型 的 指标 预测 已 发 现 攻击 线索 之 前 或 
之 后 可 能 的 恶意 活动 ,以 更 快速 地 明确 攻击 范围 ;同时 可 以 将 前 期 的 工作 成 果 作为 威胁 情 
报 , 输 入 SIEM 类 型 的 设备 ,进行 历史 性 索引 ,更 全 面 地 得 到 可 能 受 影响 的 资产 清单 或 者 

5) 从 点 到 面 的 协同 防护 

通过 对 威胁 情报 的 交换 和 共享 ,联合 安全 业界 各 方 的 力量 ,整合 信息 资源 ,实现 更 大 
范围 内 的 快速 响应 ,以 对 抗 不 停 进化 的 安全 威胁 。 只 要 在 一 个 节点 发 现 和 确认 攻击 ,把 相 
应 的 IOC 提取 出 来 并 共享 ,可 以 快速 实现 从 点 到 面 的 保护 , 极 大 地 压缩 攻击 者 进行 攻击 
的 时 间 并 提升 其 成 本 ,这 个 分 享 的 意义 比 实现 单 点 防护 要 大 得 多 。 
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建立 威胁 情报 中 心 ,将 威胁 情报 应 用 到 Web 应 用 防火 墙 系统 中 ,形成 智慧 Web 应 用 
防火 墙 。 威 胁 情报 中 心 能 够 对 大 量 情报 数据 进行 分 析 , 如 钓鱼 网 站 、 伪 尸 网 络 的 IP 指纹 、 
大 量 入 站 数据 (访问 请 求 ) 的 攻击 特征 库 等 数据 ,然后 将 威胁 情报 实时 推送 给 本 地 WAF。 

WAF 可 进行 自我 智能 分 析 ,形成 “智慧 大 脑 ”, 能 够 自动 识别 攻击 行为 ,主要 针对 于 
所 有 入 站 数据 进行 匹配 和 过 滤 。 例 如 ,如 果 有 僵尸 网 络 对 网 站 进行 大 规模 攻击 ,其 中 的 一 
个 或 部 分 IP 指纹 恰好 作为 威胁 情报 发 送 到 了 本 地 的 WAF 上 , 当 恶 意 流量 进入 WAF 
后 ,WAF 会 将 流量 和 威胁 情报 进行 匹配 ,如 果 匹 配 成 功 ,恶意 流量 将 直接 被 拦截 。 智慧 
Web 应 用 防火 墙 如 图 7-3 所 示 。 


威胁 情报 中 心 





DDoS 攻击 


跨 站 脚本 攻击 





信息 泄露 
Web 应 用 防火 墙 
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7-3 智慧 Web 应 用 防火 墙 


128 


an 





. 什么 是 威胁 情报 ? 

. 威胁 情报 的 分 类 方式 有 哪些 ? 

. 什么 是 IOC? 

. 威胁 情报 的 用 途 有 哪些 ? 

.基于 应 用 价值 的 威胁 情报 可 以 分 为 哪 4 类? 


第 7 章 威胁 情报 中 心 


Web 应 用 防火 墙 技术 及 应 用 





8 交 
呆 由 型 案例 


随 着 Web 应 用 的 不 断 丰 富 , 各 类 攻击 工具 也 不 断 出 现 ,功能 也 越 来 越 强 大 ,互联 网 上 
的 安全 隐患 越 来 越 多 。 随 着 客户 核心 业务 系统 对 网 络 依赖 程度 的 增加 , Web 应 用 攻击 事 
件数 量 将 会 持续 增长 ,损失 严重 程度 也 会 剧 增 。 因此, 政府、 企业 等 各 类 组 织 都 必须 有 所 
应 对 以 保护 其 投资 .利润 和 服务 。 

网 神 SecWAF 3600 Web 应 用 防火 墙 系统 实现 了 真正 意义 上 的 Web 安全 解决 方案 ， 
围绕 “ 重 塑 网 站 边界 “智能 化 防护 理念 “纵深 防御 体系 ”3 个 概念 ,提供 了 业界 领先 的 
Web 应 用 攻击 防护 能 力 , 通 过 多 种 机 制 的 分 析 检 测 , 网 神 的 产品 和 技术 能 够 有 效 地 阻 断 
攻击 ,保证 Web 应 用 合法 流量 的 正常 传输 ,这 对 于 保障 业务 系统 的 运行 连续 性 和 完整 性 
有 着 极为 重要 的 意义 。 同 时 ,针对 当前 的 热点 问题 ,如 SQL 注入 攻击 、 网 页 算 改 .DDoS 
攻击 等 ,网 神 SecWAF 3600 Web 应 用 防火 墙 按照 安全 事件 发 生 的 时 序 考虑 问题 ,优化 最 
佳 安全 -成 本 平衡 点 ,有 效 降 低 安全 风险 。 

本 章 将 介绍 一 些 Web 安全 问题 解决 方案 应 用 案例 ,针对 WAF 的 3 个 防护 功能 : 防 
数据 泄露 、 防 DDoS 攻击 、 防 网 页 算 改 ,分 析 其 安全 需求 及 安全 问题 ,提出 相应 的 解决 
方案 。 


8.1 防 数据 泄露 解决 方案 





8.1.1 背景 及 需求 


随 着 互联 网 应 用 的 普及 和 人 们 对 互联 网 的 依赖 ,互联 网 的 安全 问题 也 日 益 凸显 。 黑 
客 攻击 和 大 规模 的 数据 泄露 事件 频 发 ,使 大 量 网 民 和 企业 的 数据 泄露 与 财产 损失 不 断 
增加 。 

2017 年 以 来 ,国内 外 均 有 很 多 重大 的 信息 泄露 事件 被 媒体 曝光 ,泄露 信息 少 则 数 十 
万 条 ,多 则 数 亿 条 ,信息 泄露 的 危害 也 引起 了 整个 社会 的 高 度 关 注 。 信 息 泄露 已 经 成 为 安 
全 问题 的 风险 源头 。 

2017 年 1 月 至 10 月 , 补 天 平台 共 收 录 可 能 导致 信息 泄露 的 网 站 漏洞 251 个 , 约 占 补 
天 平台 全 年 漏洞 收录 总 数 (16 427 个 ) 的 1.5%, 涉 及 网 站 150 个 , 共 可 能 泄露 信息 51. 2 
亿 条 。 漏 洞 数量 不 多 ,但 是 危害 极 大 ,如 图 8-1 所 示 。 

统计 显示 ,在 251 个 可 导致 信息 泄露 的 网 站 漏洞 中 ,共有 24 个 网 站 漏洞 可 能 泄露 的 
信息 数量 在 5000 万 条 以 上 ,其 中 还 有 11 个 漏洞 可 能 泄露 的 信息 数量 在 1 亿 条 以 上 。 
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2017 年 可 能 导致 信息 泄露 网 站 漏洞 数量 占 比 | 


2017 年 1~10 月 ， 补 天 平台 共 收 录 16 427 个 漏洞 





可 导致 信息 泄露 漏洞 
1.5% 














图 8-1 2017 年 可 能 导致 信息 泄露 的 网 站 漏洞 数量 占 比 
图 8-2 给 出 了 2017 年 网 站 漏洞 可 能 泄露 信息 规模 分 析 。 





2017 年 网 站 漏洞 可 能 泄露 信息 规模 分 析 
单位 : 个 
86 
70 
41 
30 
13 11 
[| 
100 万 以 内 ”100 万 至 500 万 ”500 万 至 1000 万 1000 万 至 5000 万 ”5000 万 至 1 亿 1 亿 以 上 











8-2 2017 年 网 站 漏洞 可 能 泄露 信息 规模 分 析 


在 大 数据 产业 迅猛 发 展 的 浪潮 中 ,我 国 网 民 和 企业 的 数据 保护 面临 着 严峻 形势 。 为 
防止 这 些 重 要 信息 被 攻击 者 盗 取 和 利用 ,需要 采取 一 定 的 网 站 保护 措施 来 防范 人 侵 。 


8.1.2 解决 方案 及 分 析 


网 站 敏感 数据 信息 的 泄露 主要 是 由 于 网 站 有 各 类 漏洞 并 被 黑客 利用 而 造成 的 。 黑 客 
可 以 通过 命令 执行 SQL 注入 、 网 页 木马 等 攻击 手段 ,入 侵 网 站 数据 库 , 将 用 户 存 储 在 数 
据 库 内 的 表 名 .字段 名 ,用户 名 、 密 码 等 信息 用 工具 自动 地 遍历 猜 解 出 来 ,或 者 通过 猜 解 弱 
口令 的 方式 直接 登录 网 站 后 台 并 获取 用 户 敏感 信息 等 。 

通过 在 Web 服务 器 与 网 络 防 火 墙 之 间 直 连 部 署 Web 应 用 防火 墙 ,对 基于 正常 端口 
访问 所 发 出 的 请 求 进行 动态 检测 ,及 时 发 现 并 有 效 阻 断 Web 应 用 攻击 /入 侵 行为 ,包括 
SQL 注入 攻击 . 跨 站 脚本 攻击 以 及 恶意 疏 虫 等 ,如 图 8-3 所 示 。 

网 神 SecWAF 3600 Web 应 用 防火 墙 提供 了 细 粒 度 的 特征 库 , 产 品 支持 HTTP 校 
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图 8-3 防 数据 泄露 部 署 


验 、Web 特征 库 ( 基 于 OWASP 标准 )、 疏 虫 规则 、 防 次 链 规则 、 跨 站 请 求 规则 、 文 件 上 
传 /下 载 . 敏 感 信息 、 弱 密码 检测 等 多 种 细 粒 度 检测 的 特征 库 匹 配 规 则 ,对 流量 进行 多 
维度 精确 检测 ,精准 识别 攻击 流量 及 更 多 变形 攻击 ,降低 Web 应 用 防火 墙 被 绕 过 的 
风险 。 


a 防 DDoS 攻击 解决 方案 





8.2.1 背景 及 需求 


应 用 层 除 了 SQL 注入 、XSS. 信 息 泄露 ,溢出 等 攻击 方式 外 ,还 有 像 CC、 洪 水 等 攻击 
下 式 s 

DDoS 攻击 成 本 低 , 但 攻击 性 和 破坏 性 却 很 强 ,会 给 企业 带 来 巨大 的 不 可 挽回 的 损 
失 。DDoS 攻击 使 得 服务 器 访问 失败 ,导致 企业 失去 客户 源 ,进而 失去 获得 业务 的 机 会 。 
针对 不 同 站 点 ,DDoS 攻击 带 来 的 后 果 也 是 不 同 的 。 例 如 电信 、 电 子 商 务 以 及 工业 等 行业 
中 的 企业 都 会 在 DDoS 攻击 之 下 失去 业务 往来 机 会 ,工程 行业 或 者 是 建筑 行业 等 相关 部 
门 会 因为 不 同 的 原因 出 现 系统 故障 以 及 系统 高 成 本 预算 。 

360 威胁 情报 中 心 的 监测 数据 显示 ,2017 年 全 年 ,国内 共有 626. 2 万 个 网 站 IP 地 址 
遭 到 了 1064. 3 万 次 DDoS 攻击 。 平 均 每 天 发 生 DDoS 攻击 2. 9 万 次 。 可 见 ,DDoS 攻击 
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是 互联 网 上 的 一 种 常态 攻击 。DDoS 攻击 目标 网 站 类 型 如 图 8-4 所 示 。 


个 人 网 站 1.4% 


银行 理财 1.9% 
电子 商务 0.8% 
[过 


公共 服务 26% 一 
安全 服务 3.1% 一 一 
生活 娱乐 2.7% 


网 络 服务 9.2% 区 


企业 网 站 17.1% 







8-4 DDoS 攻击 目标 网 站 类 型 


鉴于 DDoS 攻击 的 主要 原因 是 恶意 竞争 和 敲诈 勒索 ,所 以 被 攻击 的 网 站 ,即便 只 是 中 
小 网 站 ,通常 也 具有 相当 的 商业 价值 。2017 年 遭 到 攻击 的 网 站 数量 为 626. 2 万 个 , 约 
23% 的 网 站 被 攻击 后 受到 致命 影响 ,面临 停止 服务 风险 。DDoS 攻击 全 年 给 这 些 网 站 的 
经 营 者 造成 的 经 济 损失 巨大 。 为 防止 网 站 受到 这 些 流 量 攻 击 而 造成 损失 ,需要 采取 一 定 
的 网 站 保护 措施 来 防范 入 侵 。 


8.2.2 解决 方案 及 分 析 


DDoS 攻击 利用 肉鸡 和 代理 服务 器 向 目标 发 起 攻击 。 通 过 部 署 Web 应 用 防火 墙 ,对 
应 用 层 DDoS 等 Web 应 用 攻击 进行 有 效 检测 、 阻 断 及 防护 ,降低 攻击 的 影响 ,从 而 确保 业 
务 系统 的 连续 性 和 可 用 性 ,如 图 8-5 所 示 。 

针对 潜水 攻击 方式 ,网 神 SecWAF 3600 Web 应 用 防火 墙 有 DDoS 清洗 功能 ,主要 是 
针对 CC 攻击 .洪水 攻击 .并 发 连接 数 进行 平均 值 和 突 发 值 设 置 。 当 监测 中 网 络 流量 突破 
突 发 值 的 时 候 , 网 神 SecWAF 3600 Web 应 用 防火 墙 会 把 流量 降低 至 平均 值 , 避 免 网 站 服 
务 器 因 洪 水 攻击 造成 CPU 负载 过 高 ,无 法 对 访问 流量 进行 处 理 而 导致 服务 器 出 现 宕 机 
现象 。 

DDoS 攻击 使 用 3 层 的 SYN 包 和 ACK 包 进 行 网 站 攻击 ,导致 大 流量 访问 网 站 ,网 
站 出 口 带 宽 满 负荷 ,网 站 服务 器 因 无 法 处 理 大 量 的 攻击 流量 而 瘫痪 ,导致 正常 的 客户 
流量 无 法 进入 网 站 浏览 网 站 内 容 , 造 成 网 站 不 必要 的 损失 。 网 神 SecWAF 3600 Web 
应 用 防火 墙 内 置 DDoS 防护 模块 ,针对 SYN 和 ACK 包 进 行 阔 值 控制 , 当 攻 击 流 量 攻击 
网 站 服务 器 时 ,网 神 SecWAF 3600 Web 应 用 防火 墙 会 在 对 流量 进行 识别 后 ,针对 攻击 
流量 进行 处 理 ,保证 正常 的 访问 流量 可 穿 过 网 神 SecWAF 3600 Web 应 用 防火 墙 浏览 
网 站 。 
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8.3 防 网 页 算 改 解决 方案 





8.3.1 背景 及 需求 


网 页 算 改 是 发 生 最 频繁 的 网 站 安全 事件 .黑客 为 了 达到 政治 目的 或 谋求 经 济 回 报 , 往 
往 会 对 政府 网 站 、 电 商 网 站 进行 自 改 攻击 。 据 CNCERT 最 新 统计 显示 ,2009 年 中 国 大 陆 
地 区 政府 网 页 遭 算 改 事件 呈 大 幅 增长 趋势 ,2010 年 上 半年 我 国 被 算 改 的 政府 网 站 数量 
就 达到 7189 个 。 电 子 政务 门户 网 站 基于 Web 应 用 服务 方式 ,给 用 户 提供 了 方便 ,然而 针 
对 Web 业务 的 攻击 也 在 迅猛 增长 ,类 似 网 页 被 算 改 或 者 网 站 被 人 侵 等 安全 事件 频繁 发 
生 , 不 但 严重 影响 了 政府 的 形象 ,有 时 甚至 会 造成 巨大 的 经 济 损失 或 者 严重 的 社会 问题 ， 
严重 危及 国家 安全 和 人 民利 益 。 

攻击 者 通过 网 页 漏洞 获取 、 破 坏 、 算 改 各 种 重要 信息 ,给 各 组 织 机 构造 成 重大 的 经 济 
损失 和 恶劣 的 社会 影响 。 针 对 目前 网 络 空间 日 益 严重 的 网 站 攻击 和 自 改 的 问题 ,国家 相 
关 部 门 出 台 了 相应 的 条 款 进 行 制约 ,在 信息 安全 等 级 保护 工作 中 也 明确 了 对 网 站 的 保护 
要 求 。 

这 些 网 站 往往 代表 政府 机 关 、 企 事业 部 门 的 形象 ,有 些 网 站 甚至 代表 国家 形象 ,与 国 
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家 利益 息息相关 。 根 据 等 级 保护 分 级 保护 工作 的 要 求 ,政府 类 网 站 在 建设 中 ,需要 将 对 
外 发 布 和 对 内 维护 分 开 , 发 布 网 站 和 维护 网 站 服务 器 之 间 采 用 物理 隔离 ,使 用 两 台 服务 隔 
离 的 网 站 进行 网 页 防 自 改 。 


8.3.2 解决 方案 及 分 析 


网 页 算 改 事件 发 生 的 主要 原因 是 网 页 代码 编写 不 规范 、 网 站 服务 器 植 入 后 门 程序 
(Webshell 等 )。 这 些 安全 问题 导致 网 页 可 以 被 第 三 方 轻易 入 侵 , 算 改 网 站 内 容 , 蔡 换 网 
站 图 片 .视频 文件 等 。 

通过 在 Web 服务 器 之 前 部 署 Web 应 用 防火 墙 ,可 以 对 网 页 防 自 改 客户 端 进行 实时 
监控 。 当 网 页 防 算 改 客户 端 与 网 神 SeeWAF 3600 Web 应 用 防火 墙 的 网 络 中 断 时 ,网 页 
文件 会 被 自动 锁定 ,所 有 写 的 权限 被 封锁 ,只 有 读 的 权限 。 当 网 络 恢复 后 ,所 有 相关 权限 
会 自动 下 发 ,网 站 恢复 正常 更 新 ,如 图 8-6 所 示 。 

















图 8-6 ”网 页 防臭 改 部 署 


网 神 SeceWAF 3600 Web 应 用 防火 墙 内 置 网 页 防 自 改 模块 ,使 用 内 核 保护 和 触发 更 
新 技术 对 网 站 进行 防 自 改 保护 , 当 攻 击 者 算 改 网 站 时 ,触发 更 新 技术 会 第 一 时 间 记 录 网 站 
被 算 改 ,之 后 还 原 网 站 原 有 形态 ,保证 网 站 不 被 攻击 者 算 改 ,并 用 内 核 保 护 技 术 对 网 站 的 
数据 库 、 网 站 架构 进行 权限 保护 ,防止 攻击 者 进一步 盗 取 和 利用 敏感 信息 。 
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于 末 
WAF 技术 英文 缩 略 语 


ACAP Automated Content Access Protocol 自动 内 容 访 问 协议 
ACL Access Control List 访问 控制 列表 

ADN Application Delivery Networking 应 用 交付 网 络 

AES Advanced Encryption Standard 高 级 加 密 标准 

API Application Programming Interface 应 用 程序 编程 接口 
APT Advanced Persistent Threat 高 级 持续 性 威胁 

ARP Address Resolution Protocol 地 址 解析 协议 

ASP Active Server Page 动态 服务 器 页 面 

BGP Border Gateway Protocol 边界 网 关 协 议 

CC Challenge Collapsar 挑战 黑洞 

CDN Content Delivery Network 内 容 分 发 网 络 

CNAME Canonical Name 规范 名 称 

CNNIC China Internet Network Information Center 中 国 互联 网 络 信息 中 心 
CPU Central Processing Unit 中 央 处 理 单元 

CRM Customer Relationship Management 客户 关系 管理 
CSRF Cross-site Request Forgery 跨 站 请 求 伪造 

DDoS Distributed Denial of Service 分 布 式 拒绝 服务 攻击 
DHCP Dynamic Host Configuration Protocol 动态 主机 配置 协议 
DLP Data Leakage Prevention 数据 丢失 保护 

DNS Domain Name System 域名 系统 

DOM Document Object Model 文档 对 象 模型 

DPF Distributed Packet Filtering 分布 式 包 过 滤 方 法 

DPI Deep Packet Inspection 深度 报 文 检 测 

DWC Deep Web Crawler 深层 网 络 疏 虫 

ERP “ Enterprise Resource Planning 企业 资源 计划 

FTP File Transfer Protocol 文件 传输 协议 

FWC Focused Web Crawler 聚焦 网 络 息 虫 

Gbps Gigabit per second 吉 位 每 秒 

GPWC General Purpose Web Crawler 通用 网 络 息 虫 

HRM Human Resource Management 人 力 资源 管理 





em 时 录 人 WAF 技术 英文 缩 略语 mm 


HTML Hypertext Markup Language 超 文本 标记 语言 
HTTP Hypertext Transfer Protocol 超 文 本 传输 协议 
HTTPS Hypertext Transfer Protocol Secure 超 文 本 传输 协议 安全 
ICMP Internet Control Message Protocol 网 络 控制 报 文 协议 
IDS Intrusion Detection System 人 入 侵 检 测 系统 
IE Internet Explorer 互联 网 浏览 器 
IGMP Internet Group Management Protocol 因特网 管理 协议 
IGP Interior Gateway Protocol 内 部 网 关 协 议 
IIS Internet Information Service 互联 网 信息 服务 
IOC Indicator of Compromise 人 入侵 指示 标记 
IP Internet Protocol 互联 网 协议 
IPS Intrusion Prevention System 和信 侵 防御 系统 
IRC Internet Relay Chat 互联 网 交谈 协议 
ISP Internet Service Provider 互联 网 服务 提供 商 
IT Information Technology 信息 技术 
IWC Incremental Web Crawler 增 量 式 网 络 疏 虫 
JSP Java Server Pages Java 服务 器 页 面 
KPI Key Performance Indicator 关键 绩效 指标 
Mbps Megabit per second 兆 位 每 秒 
MIME Multipurpose Internet Mail Extensions 多 用 途 互联 网 邮件 扩展 类 型 
MRTI Machine-Readable Threat Intelligence 可 机 读 威胁 情报 
MSSP Managed Security Service Provider 安全 服务 提供 商 
MTU Maximum Transmission Unit 最 大 传输 单元 
NAT Network Address Translation 网 络 地 址 转换 
NGFW Next Generation Firewall 下 一 代 防 火 墙 
NIST National Institute of Standards and Technology 美国 国家 标准 与 技术 研究 院 
NNTP Network News Transfer Protocol 网 络 新 闻 传 输 协议 
NS Name Server 名 称 服务 器 
NTP Network Time Protocol 网 络 时 间 协 议 
OWASP Open Web Application Security Project 开放 式 Web 应 用 程序 安全 项 目 
P2P ”Peer to Peer 点 对 点 ,对 等 
PDF Portable Document Format 便携 式 文档 格式 
PHP Hypertext Preprocessor 超 文本 预 处 理 语言 
PPS Packets per second 包 每 秒 
RASP Runtime Application Self-Protection 实时 应 用 程序 自我 保护 
RIP Routing Information Protocol 路 由 信息 协议 
RSA ”Rivest-Shamir-Adleman RSA 算法 (一 种 非 对 称 加密 算 法 ) 
SaaS Software as a Service 软件 即 服 务 
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SCM Supply Chain Management 供应 链 管理 

SEO ”Search Engine Optimization ”搜索 引擎 优化 

SHA Secure Hash Algorithm 安全 哈 希 算法 

SIEM Security Information and Event Management 安全 信息 和 事件 管理 
SMTP Simple Mail Transfer Protocol 简单 邮件 传输 协议 
SQL Structured Query Language 结构 化 查询 语言 

SSH Secure Shell 安全 外 过 协议 

SSL ”Secure Sockets Layer 安全 套 接 层 

SSRF Server-Side Request Forgery 服务 器 端 请 求 伪 造 
SVN Subversion 版 本 控制 系统 

TCL Tool Command Language 工具 命令 语言 

TCP Transmission Control Protocol 传输 控制 协议 

TI Threat Intelligence 威胁 情报 

URI Universal Resource Identifier 统一 资源 标识 符 
URL Uniform Resource Locator 统一 资源 定位 符 

UDP User Datagram Protocol 用 户 数据 报 协议 

UTM United Threat Management 统一 威胁 管理 

VPN Virtual Private Network 虚拟 专用 网 络 

VRRP Virtual Router Redundancy Protocol 虚拟 路 由 元 余 协 议 
WAF Web Application Firewall Web 应 用 防火 墙 

WWW World Wide Web 万 维 网 

XML Extensible Markup Language 可 扩展 标记 语言 
XSS Cross Site Scripting 跨 站 脚本 
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